Win32/IRCBot.worm.228037

Win32/IRCBot.worm.228037 是 Win32/Mytob.worm蠕蟲的變種之一.。該蠕蟲試圖利用Windows系統漏洞來傳播. 運行該蠕蟲後會在Windows系統目錄下生成msnrngr.exe (228,037 bytes)和SVKP.sys (2,368 bytes)檔案,並修改註冊表當系統啟動時自動運行。

基本信息

感染症狀及介紹

Win32/IRCBot.worm.228037 是 Win32/Mytob.worm蠕蟲的變種之一. 該蠕蟲試圖利用Windows系統漏洞來傳播. 運行該蠕蟲後會在Windows系統目錄下生成msnrngr.exe (228,037 bytes)和SVKP.sys (2,368 bytes)檔案,並修改註冊表當系統啟動時自動運行. 試圖連線特定IRC伺服器. 連線成功後,以管理者(Operator)的身份執行惡意控制.

技術分析

* 擴散程度
收集病毒信息的安博士公司已在 2005年 10月 13日 9:21分(GMT+9 標準) 從客戶收到一件感染報告.
* 傳播路徑
[系統漏洞]
該蠕蟲是與 Win32/IRCBot.worm 的變種一樣,是通過Windows漏洞來傳播.
MS03-039 RPC DCOM2 漏洞
英文 - http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
韓文 - http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
MS04-011 Microsoft Windows安全升級中存在的 LSASS 漏洞
文 - http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx
文 - http://www.microsoft.com/korea/technet/security/bulletin/ms04-011.asp
[簡單的用戶密碼]
Windows NT 系列(Windows NT, 2000, XP)的管理目的密碼較簡單時連線到此系統後運行蠕蟲. 代入簡單密碼列表如下.
intranet
winpass
blank
office
control
nokia
siemens
compaq
cisco
orainstall
sqlpassoainstall
db1234
databasepassword
databasepass
dbpassword
dbpass
access
domainpassword
domainpass
domain
hello
bitch
exchange
backup
technical
loginpass
login
katie
george
chris
brian
susan
peter
win2000
winnt
winxp
win2k
win98
windows
oeminstall
oemuser
homeuser
accounting
accounts
internet
outlook
qwerty
server
system
changeme
linux
1234567890
123456789
12345678
1234567
123456
12345
pass1234
passwd
password
password1
oracle
database
default
guest
wwwadmin
teacher
student
owner
computer
staff
admins
administrat
administrateur
administrador
administrator

運行後症狀

[生成檔案]
在Windows系統目錄下生成以下檔案.
- msnrngr.exe (228,037 bytes)
- SVKP.sys (2,368 bytes)
注) windows系統資料夾的類型以版本不同有差異. 在Windows 95/98/Me C:\Windows\System, windows NT/2000, C:\WinNT\System32, windows XP是C:\Windows\System32 資料夾.
[修改註冊表]
修改註冊表當系統啟動時自動運行.
HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
的 "MSN Messenger"="msnrngr.exe"
HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
RunServices\
的 "MSN Messenger"="msnrngr.exe"
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run
的 "MSN Messenger"="msnrngr.exe"
[修改服務]
修改註冊表當系統啟動時自動運行.
HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
SVKP
"ImagePath"=“C:\WINNT\system32\SVKP.sys “
[生成互斥]
生成以下互斥(Mutex)來防止重複運行.
- fuXion
[結束進程]
強行關閉以下運行中的進程.
i11r54n4.exe
irun4.exe
d3dupdate.exe
rate.exe
ssate.exe
winsys.exe
winupd.exe
SysMonXP.exe
bbeagle.exe
Penis32.exe
teekids.exe
MSBLAST.exe
mscvb32.exe
sysinfo.exe
PandaAVEngine.exe
wincfg32.exetaskmon.exe
zonealarm.exe
navapw32.exe
navw32.exe
zapro.exe
msblast.exe
netstat.exe
msconfig.exe
regedit.exe
[打開連線埠]
感染的系統會打開如下連線埠並處於等待狀態(LISTENING).
- TCP 任意連線埠
從外部利用該連線埠可以執行遠程控制. 帶著惡意心理的人連線他人電腦時會執行(運行程式, 刪除資料等) 或者盜取個人信息,各種檔案,機密檔案.
* 惡性 IRC bot 功能
試圖連線特定 IRC(Internet Relay Chat: 利用網際網路的一種聊天服務)伺服器和聊天室.
連線成功後,以管理者(Operator)的身份執行惡意控制.
一般可運行的惡性功能如下.但IRC 伺服器管理者封閉該聊天室時,該惡性功能不會運行.
- 運行檔案並刪除
- 下載檔案並裝入
- 泄露系統信息及網路信息
- 記錄用戶輸入的內容(泄露用戶的密碼)
- 對特定 IP進行攻擊 (因增加網路流量會崩潰)
- 泄露特定遊戲 CD 密碼
- 傳送大量郵件(間諜郵件)
[IRC 服務列表]
試圖連線的地址如下.
6*.1**.1*8.3* #**n*o# e**x*R
注) 一些地址由 * 來替代.
解決方案
* 使用V3Pro 2002 Deluxe / V3 VirusBlock 2005 / V3Net for Windows Server的用戶
1. 產品運行後, 通過[升級]按鈕或升級檔案, 升級最新引擎及補丁檔案.
2. 首先指定要檢查的驅動器,然後進行檢查.
3. 在進程中診斷為惡性代碼時, 選擇提示視窗中的‘強制推出後進行治療’
惡性代碼退出後,會自動進行治療(刪除).
4. 進程檢查和指定的驅動器檢查結束後,會彈出一個治療視窗.
在這裡點擊'治療所有目錄'按鈕後,治療(刪除)被診斷的惡性代碼.
5. 添加及更改過的註冊表值會自動修改.
* MyV3 用戶
1. 連線到MyV3 網站(http://auth70.ahn.com.cn/shopping/myv3.jsp 等)後運行. 如沒有安
裝MyV3活動 X 控制鍵, 在'安全警告'視窗點擊'YES'後安裝即可.
2. 把MyV3升級為最新版本.
3. 首先指定要檢查的驅動器, 然後點擊[開始檢查]按鈕後開始檢查.
4. 在進程中診斷惡性代碼時, 選擇提示視窗中的'強制結束後治療'. 從而關閉的惡性代碼會自動被治療(刪除).
5. 進程檢查和指定驅動器的檢查結束後彈出一個治療視窗.
在這裡點擊'治療所有標題'按鈕後, 對診斷的惡性代碼開始進行治療(刪除).
6. 添加及更改的註冊表值會自動修改.

相關搜尋

熱門詞條

聯絡我們