实习日志（三）

3.30

    一日无事，到最后，上司给了一个小项目，要求写出一个方案来：一个事业部门，要求加装防火墙和网络版杀毒软件。

   下班回家路上，上司打电话过来，要求明天到外地出差，晚上准备准备，使用一下IPDView系统。

    在http://www.ipdview.com 下载了这套系统，发觉是一套管理软件，可管理整个局域网的软件，基于IIS，满简洁的。

3.31

   出差。下午一点到目的地。

   该单位主要是被木马攻击，我们的工作就是配合他们的网管检查网络，查杀病毒。

   感染病毒为：updaterv7.exe，在IDS中，对135，445端口的攻击多得一塌糊涂。

4.1

   经过昨天和今天的仔细研究，收集到该病毒的一些资料：

1.攻击端口：135，445

2.注册表修改：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
下有如下键值:
Updater Service V7="updaterv7.exe"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
下有如下键值:
Updater Service V7="updaterv7.exe"

4.文件存在：
c:/winnt/system32/下有如下程序：updaterv7.exe
同时，在e:/下生成testfile文件

5.添加如下服务：
itpvzqn
"//ip/E$/updaterv7.exe" -service

通过网上资料检索，发觉该病毒应该是高波的变种，利用的漏洞比较多：DCOM,RPC,LSASS,WebDev,SQL等
但google中无法找到解决方法

如果您有这个病毒的资料，也可以在这个帖子中发贴：http://community.csdn.net/Expert/topic/3900/3900157.xml?temp=.7668268