Win32/IRCBot.worm.293888.B
描述
Win32/IRCBot.worm.293888.B 是 Win32/IRCBot.worm蠕蟲的變種之一.該蠕蟲試圖利用Windows漏洞和Windows用戶帳號密碼漏洞來傳播. 運行該蠕蟲後會在Windows系統資料夾下生成 tdrdhwd.exe (293,888 bytes), 並修改註冊表當系統啟動時自動運行. 試圖連線特定IRC伺服器. 連線成功後,以管理者(Operator)的身份執行惡意控制.
技術分析
* 傳播路徑
【運行系統安全漏洞】
該蠕蟲利用Win32/IRCBot.worm 變更與Windows漏洞傳播.
MS03-039 RPC DCOM2 漏洞
英文 - http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
韓文 - http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
【用戶帳號密碼漏洞】
WINDOWS NT 系列(WINDOWS NT, 2000, XP)已分享檔案夾的用戶帳號存有密碼漏洞時,連線系統後運行該蠕蟲. 密碼漏洞帳號的清單如下.
administrator
administrador
administrateur
administrat
admins
admin
staff
computer
owner
student
teacher
wwwadmin
guest
default
database
oracle
administrator
administrador
administrateur
administrat
admins
admin
password1
password
passwd
pass1234
12345
123456
1234567
12345678
123456789
1234567890
guest
linux
changeme
default
system
server
qwerty
outlook
internet
accounts
accounting
homeuser
oemuser
oeminstall
windows
win98
win2k
winxp
winnt
win2000
peter
susan
peter
brian
chris
george
katie
login
loginpass
technical
backup
exchange
bitch
hello
domain
domainpass
domainpassword
database
access
dbpass
dbpassword
databasepass
databasepassword
db1234
sqlpassoainstall
orainstall
oracle
cisco
compaq
siemens
nokia
control
office
blank
winpass
internet
intranet
student
teacher
staff
* 運行後症狀
【生成檔案】
在Windows系統資料夾生成如下檔案.
- tdrdhwd.exe (293,888 bytes)
注) Windows系統資料夾的類型以版本不同有差異. 在Windows 95/98/Me是C:\Windows\System, Windows NT/2000是C:\WinNT\System32, Windows XP是C:\Windows\System32.
【修改註冊表】
修改註冊表當系統啟動時自動運行.
HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run
start up service = tdrdhwd.exe
HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
RunServices
start up service = tdrdhwd.exe
HKEY_USERS\
S-1-5-21-343818398-1417001333-839522115-1003\
Software\
Microsoft\
OLE
start up service = tdrdhwd.exe
* 惡性 IRC bot 功能
試圖連線特定 IRC(Internet Relay Chat: 利用網際網路的一種聊天服務)伺服器和聊天室. 連線成功後,以管理者(Operator)的身份執行惡意控制.
一般可運行的惡性功能如下.但IRC 伺服器管理者封閉該聊天室時,該惡性功能不會運行.
- 檔案運行及刪除
- 泄露系統信息及網路信息
- 記錄用戶輸入的內容(泄露用戶的密碼)
- 泄露特定遊戲CD Key 代碼
【IRC 伺服器】
1**.2**.3*.70
注) 一些地址由 * 來替代.
