Worm.SdBoter.k

病毒别名：

处理时间：2005-09-14

威胁级别：★

中文名称：

病毒类型：蠕虫

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个通过多种途径传播的蠕虫病毒。该病毒运行后，会生成文件%system%mscidaemon.com,%system%mscidaemon.exe和,%system%mscidaemon.dll,并添加注册表；该病毒会链接IRC聊天室，接收黑客的控制命令，使用户主机沦为“肉鸡”；该病毒会发送邮件炸弹；该病毒通过弱口令登陆别的主机进行传播病毒；该病毒会通过邮件传播，通过网络弱口令攻击传播。建议用户将主机密码设长，并经常更换，关闭guest帐户。

1，生成文件

%system%mscidaemon.com

%system%mscidaemon.exe

%system%mscidaemon.dll

2，添加注册表

HKEY_LOCAL_MACHINESOFTWAREb

HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{L9IW2QB23-CD-EDF-2-22d2-9CBD-00WSFS8AR6-9QER21QAJPM}

"StubPath" = "%system%mscidaemon.com"

3，网络弱口令攻击

用户名：

Administrator

Guest

Owner

Root

弱密码：

901100

pw

mypass123

mypass

pw123

admin123

mypc123 mypc

love

pwd Login

login

owner

xxx

home

zxcv

yxcv

qwer

secret

asdf

pc

win

temp123

temp

test123

test

abc

aaa

a

foobar

god

sex

root

administrator

pat

patrick

alpha

007

123abc

1234qwer

123123

121212

111111

110

0

2600

2003

2002

xp

enable

godblessyou

ihavenopass

123asd

super

Internet

computer

server

123qwe

sybase

oracle

abc123

abcd

database

passwd

pass

88888888

11111111

00000000

000000

111

54321

654321

123456789

1234567

123

12

1

Password

Admin

admin

ccc

12345

12345678

letmein

2112

baseball

qwerty

7777

5150

fish

1313

shadow

1111

mustang

pussy

golf

123456

harley

6969

password

1234

4，通过网络弱口令传播到被攻击者以下目录

%Root%:Documents and SettingsAll UsersStart MenuProgramsStartup

%Root%:WINDOWSAll UsersStart MenuProgramsStartup

文件名为mscidaemon.com

5，发送邮件炸弹

6，IRC攻击控制命令

oper

OPER

PASS

USER

OPEN

JOIN

KICK

302

005

001

pong