病毒别名：

处理时间：

威胁级别：★★★

中文名称：帕拉丁

病毒类型：蠕虫

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

编写工具:

vc6编写,upx编写

传染条件:

利用lsass溢出漏洞http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx在tcp端口445进行溢出传播.同时在113, 3067和256-8191之间的随机端口开设后门.

发作条件:

运行后将窃听和泄漏用户的一些个人数据.

系统修改:

1,删除病毒初始运行目录下的Ftpupd.exe文件

2,通过建立互斥体u8, u9, u10, uterm11, r10来确保只有一个进程运行

3,建立事件对象u11x

4,删除以下注册表键值:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

Windows Security Manager

Disk Defragmenter

System Restore Service

Bot Loader

WinUpdate

Windows Update Service

avserve.exe

avserve2.exeUpdate Service

5,添加注册表键值:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"Windows Update"="%System%.exe"

6,将自身注入Explorer.exe的进程空间,使用户难以察觉.

7,在Tcp端口113, 3067, 256-8191之间开设后门

8,从以下网站的http server进行病毒自身的更新:

moscow-advokat.ru

fethard.biz

hackers.lv

cvv.ru

www.redline.ru

lovingod.host.sk

filesearch.ru

goldensand.ru

fuck.ru

padonki.org

trojan.ru

asechka.ru

master-x.com

color-bank.ru

kavkaz.ru

crutop.nu

kidos-bank.ru

parex-bank.ru

adult-empire.com

konfiskat.org

citi-bank.ru

xware.cjb.net

mazafaka.ru

同时开设一个独立线程对远程机器的445端口进行溢出攻击,利用了漏洞:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

发作现象:

在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun会发现一个名为Windows Update的键值.

特别说明: