概述
病毒別名:
處理時間:
威脅級別:★★★
中文名稱:惡郵差變種Ac
病毒類型:蠕蟲
影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行為:惡郵差
編寫工具
Microsoft Visual C++ 6.0, aspack多重壓縮
傳染條件
通過郵件傳播
發作條件
用戶誤運行,或系統密碼過於簡單
系統修改
A、1、木馬運行後會將自身複製到系統目錄下:
%SystemRoot%SYSTRA.EXE
%System%hxdef.exe
%System%IEXPLORE.EXE
%System%RAVMOND.exe
%System%
ealsched.exe
%System%vptray.exe
%System%kernel66.dll
2、在系統安裝目錄中生成
%System%ODBCdll
%System%msjdbc11.dll
%System%MSSIGN30.DLL
%System%LMMIB20.DLL
%System%NetMeeting.exe
%Windir%suchost.exe
%System%spollsv.exe
3、在每個盤符下生成如下兩個檔案
AUTORUN.INF
command.exe
使用戶一雙擊盤符即會中毒
B、1、在註冊表主鍵:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下鍵值:
"WinHelp"="%SYSTEM%"
ealsched.exe"
"Hardware Profile" ="%SYSTEM%"hxdef.exe"
"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%system%IEXPLORE.EXE"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%system%spollsv.exe"
2、對註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREClasses xtfileshellopencommand
修改如下鍵值
"默認"="vptray.exe %1"
3、在註冊表主鍵
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
unServices
下添加如下鍵值:
"SystemTra"="%Windor%SysTra.EXE"
"COM++ System"="suchost.exe"
4、對於win98/me系統 會對%system%win.ini檔案內添加如下內容:
run=%System%RAVMOND.exe
C、會創建一個名為 "Windows Management Protocol v.0 (experimental)"和"_reg"的兩個服務,服務對應的病毒檔案為msjdbc11.dll 和ondll_server。
D、隨機開啟一個連線埠,作為後門。
E、收集系統信息,存為C:NETLOG.TXT,每行均以NETDI做為開頭
F、複製自身到所有已分享資料夾中,檔案名稱可能是以下之一:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、會釋放一個名為suchost.exe檔案用於將病毒體和EXE檔案進行捆綁。互斥量為:I090909!
發作現象
A、如果防毒軟體進程存在,則中止以下進程:
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
rising
B、對網路上的計算機的管理員密碼,進行弱密碼攻擊:弱密碼如下:
Guest
Administrator
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2004
2003
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
如果攻擊成功的話,則病毒感染這台機器。
C、搜尋郵件列表,並試圖發電子郵件,電子郵件的附屬檔案一般名為:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
D、在所有目錄中搜尋後綴名為如下的的檔案
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.wab
從中找到郵件地址,並用自己的郵件系統傳送郵件
特別說明: