Win32.Toxbot的变种能采取各种不同的途径和方式传播，而且人为通过系统后门手工控制的传播多于自动地传播。
通过共享网络传播（利用TCP445端口）
Win32.Toxbot可以通过Windows文件共享感染远程的机器。方法是：通过探测TCP445端口扫描到目标机器，然后通过ipc$，连接到远程的机器。Toxbot会使用自带的口令列表，通过猜口令的方式访问远程的目标机器。所以，如果目标机器的管理员帐户未设置口令或口令密码比较简单，则很容易被病毒猜到，进而获得访问和控制权。

利用漏洞
Win32.Toxbot还能利用Windows操作系统和第三方应用软件的漏洞进行传播。一旦发现目标机器上可以利用的漏洞，Win32.Toxbot就立刻与目标机器建立连接。
Win32.Toxbot可能利用以下已知漏洞进行传播：

Microsoft Windows LSASS 缓冲区溢出漏洞(TCP 135 和445端口，冲击波病毒利用的漏洞)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Microsoft Windows ntdll.dll缓冲区溢出漏洞(WebDav 攻击) (TCP 80端口)
http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx
Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP 135端口)
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx (替代了原MS03-026)
Alt-N WebAdmin USER 缓冲区溢出漏洞 (TCP 1000端口)
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?ID=21794

破坏性
利用Toxbot程序，Toxbot控制者（黑客）可以在被感染的机器上执行以下各种操作：
扫描其它的系统以便继续传播
得到bot 的版本信息
退出系统
获得系统信息（CPU类型、操作系统、IP地址等）
列出或杀掉进程和线程
使用HTTP下载文件
启动一个sock代理

Worm at W32 dot Toxbot
Toxbot會透過系統漏洞來散播，請用戶要上網做系統更新
Worm at W32 dot Toxbot是一隻網路駭蟲，它會開啟已中毒電腦上的IRC後門，並且會藉由系統的漏洞來散播。

基本介紹
病毒名稱 Worm at W32 dot Toxbot
病毒別名 W32.Toxbot
病毒型態 Worm
病毒發現日期 2005/03/11
利用漏洞
 MS04-011(英文)  MS04-011(中文)
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：中 破壞程度：中

Worm at W32 dot Toxbot 行為描述：
註：在Win95/98/me %System% 預設值為 C:\windows\System
在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32
駭蟲會裝置一個後門程式並允許遠端的駭客透過IRC頻道從已中毒的電腦來散播感染。
後門程式允許遠端駭客執行下列的各項行為:
Log keystrokes
End processes
Steal cached passwords
Steal system information
Download remote files

駭蟲會產生下列的服務:
Distributed Link Tracking Service

駭蟲會開啟在下列各項領域其中之一的TCP port6556上的一個後門:
i.randomized.it
0x90.devtech.us
0x41.memzero.info

透過病毒執行後，將駭蟲本身複製到%System%
random file name.exe.
TrkWksvc.exe

[random file name]通常會有8個特徵，可能的例子包括:
TrkWksrv.exe
dxdllsvc.exe
ciclient.exe

修改登錄檔，如此開機即會啟動駭蟲。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\[random file name]
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\[random file name]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Minimal\TrkWksvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Network\TrkWksvc
名稱=(Default) 值=Service

http://securityresponse.symantec.com/avcenter/FxToxbot.exe
下載這個程式,它會幫你自動移除該病毒!

我看到的norton网站的清除方法是这样的,记得先备份注册表！
http://securityresponse.symantec.com/avcenter/venc/data/w32.toxbot.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.toxbot.removal.tool.html

--W32.Toxbot的手工清除方法
最近公司里有多台机器被病毒感染。其中有一W32.Toxbot的蠕虫伪装成名为“netddeclnt”的服务进程，Norton虽然可以查到但却无法杀除。此木马的宿主为%System32%\\netddeclnt.exe，其作为Windows的Service在系统自举时加载，故杀毒软件无法进行清除。

1、在“服务”中找到“Network DDE Client”，将其停止并禁用；
2、删除HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal下的“NetDDEClient”区；
3、删除HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Network下的“NetDDEClient”区；
4、重新启动你的PC吧。

同事用NORTON企业版，结果总是报告找到 NETDDESRV.EXE W32.TOXBOT病毒，没有办法杀掉，也没有办法隔离，不同的报告，短短几分钟就报告了上百次。
找了一些资料，也没有办法对应干掉。

无聊之下，跑到任务管理器，停止 NETDDESRV进程，然后删除该文件，再进入注册表删除所有相关项。

真是很奇怪，我都可以杀掉，为什么 NORTON居然不行？？