ackdoor/LeakerBot(漏波后门病毒)是一系列病毒的统称,最新变种e通过网络共享来传播的,同时也通过雏鹰等蠕虫病毒留下的后门进行传播,但是最根本的是该病毒利用了一系列WINDOWS系统漏洞来进行传播。

　　病毒长度:138752字节.感染的操作系统是:Windows NT/2000/XP

多媒体互动学英语 张国荣风采依旧一周年 金犊奖大陆初审揭晓 AC-尼尔森互联网调查

　　这些漏洞包括:

　　(1) DCOM RPC漏洞(www.microsoft.com/technet/security/bulletin/MS03-026.mspx),端口是

　　TCP的135端口,这点上和冲击波病毒相同.

　　(2)漏洞:www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)

　　WINDOWS XP用户是www.microsoft.com/technet/security/bulletin/MS03-043.mspx.

　　(3)www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.

　　"震荡波"病毒I-Worm/Sasser描述:

　　http://www.jiangmin.com/exec/news_sys/news/jiangmin/index/important/200451153323.htm

　　该蠕虫还能作为后门程序入侵到其他操作系统;

　　该蠕虫还能使已经安装的反病毒程序和安全程序失效.

　　具体特征:

　　(1)文件特征:

　　msiwin84.exe

　　修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.

　　(2)注册表特征:

　　修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是：Run\Microsoft Upate

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

　　(3)使得感染的机器不能上一些反病毒公司网站,具体修改的内容为:

　　127.0.0.1 www.symantec.com

　　127.0.0.1 securityresponse.symantec.com

　　127.0.0.1 symantec.com

　　127.0.0.1 www.sophos.com

　　127.0.0.1 sophos.com

　　127.0.0.1 www.mcafee.com

　　127.0.0.1 mcafee.com

　　127.0.0.1 liveupdate.symantecliveupdate.com

　　127.0.0.1 www.viruslist.com

　　127.0.0.1 viruslist.com

　　127.0.0.1 viruslist.com

　　127.0.0.1 f-secure.com

　　127.0.0.1 www.f-secure.com

　　127.0.0.1 kaspersky.com

　　127.0.0.1 kaspersky-labs.com

　　127.0.0.1 www.avp.com

　　127.0.0.1 www.kaspersky.com

　　127.0.0.1 avp.com

　　127.0.0.1 www.networkassociates.com

　　127.0.0.1 networkassociates.com

　　127.0.0.1 www.ca.com

　　127.0.0.1 ca.com

　　127.0.0.1 mast.mcafee.com

　　127.0.0.1 my-etrust.com

　　127.0.0.1 www.my-etrust.com

　　127.0.0.1 download.mcafee.com

　　127.0.0.1 dispatch.mcafee.com

　　127.0.0.1 secure.nai.com

　　127.0.0.1 nai.com

　　127.0.0.1 www.nai.com

　　127.0.0.1 update.symantec.com

　　127.0.0.1 updates.symantec.com

　　127.0.0.1 us.mcafee.com

　　127.0.0.1 liveupdate.symantec.com

　　127.0.0.1 customer.symantec.com

　　127.0.0.1 rads.mcafee.com

　　127.0.0.1 trendmicro.com

　　127.0.0.1 www.trendmicro.com

　　127.0.0.1 www.grisoft.com

　　文件是系统目录下的drivers\etc\hosts文件.

　　(4)终止进程:

　　irun4.exe

　　Ssate.exe

　　i11r54n4.exe

　　winsys.exessgrate.exe

　　d3dupdate.exe

　　bbeagle.exerate.exe

　　(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛.

　　(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区.

　　(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序.

　　(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令.