Win32/IRCBot.worm.293888.B

王朝百科·作者佚名  2010-01-01  
宽屏版  字体: |||超大  

描述

Win32/IRCBot.worm.293888.B 是 Win32/IRCBot.worm蠕虫的变种之一.该蠕虫试图利用Windows漏洞和Windows用户帐号密码漏洞来传播. 运行该蠕虫后会在Windows系统文件夹下生成 tdrdhwd.exe (293,888 bytes), 并修改注册表当系统启动时自动运行. 试图连接特定IRC服务器. 连接成功后,以管理者(Operator)的身份执行恶意控制.

技术分析

* 传播路径

[运行系统安全漏洞]

该蠕虫利用Win32/IRCBot.worm 变更与Windows漏洞传播.

MS03-039 RPC DCOM2 漏洞

英文 - http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx

韩文 - http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp

[用户帐号密码漏洞]

WINDOWS NT 系列(WINDOWS NT, 2000, XP)共享文件夹的用户帐号存有密码漏洞时,连接系统后运行该蠕虫. 密码漏洞帐号的清单如下.

administrator

administrador

administrateur

administrat

admins

admin

staff

computer

owner

student

teacher

wwwadmin

guest

default

database

oracle

administrator

administrador

administrateur

administrat

admins

admin

password1

password

passwd

pass1234

12345

123456

1234567

12345678

123456789

1234567890

guest

linux

changeme

default

system

server

qwerty

outlook

internet

accounts

accounting

homeuser

oemuser

oeminstall

windows

win98

win2k

winxp

winnt

win2000

peter

susan

peter

brian

chris

george

katie

login

loginpass

technical

backup

exchange

bitch

hello

domain

domainpass

domainpassword

database

access

dbpass

dbpassword

databasepass

databasepassword

db1234

sqlpassoainstall

orainstall

oracle

cisco

compaq

siemens

nokia

control

office

blank

winpass

internet

intranet

student

teacher

staff

* 运行后症状

[生成文件]

在Windows系统文件夹生成如下文件.

- tdrdhwd.exe (293,888 bytes)

注) Windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me是C:WindowsSystem, Windows NT/2000是C:WinNTSystem32, Windows XP是C:WindowsSystem32.

[修改注册表]

修改注册表当系统启动时自动运行.

HKEY_LOCAL_MACHINE

SOFTWARE

Microsoft

Windows

CurrentVersion

Run

start up service = tdrdhwd.exe

HKEY_LOCAL_MACHINE

SOFTWARE

Microsoft

Windows

CurrentVersion

RunServices

start up service = tdrdhwd.exe

HKEY_USERS

S-1-5-21-343818398-1417001333-839522115-1003

Software

Microsoft

OLE

start up service = tdrdhwd.exe

* 恶性 IRC bot 功能

试图连接特定 IRC(Internet Relay Chat: 利用因特网的一种聊天服务)服务器和聊天室. 连接成功后,以管理者(Operator)的身份执行恶意控制.

一般可运行的恶性功能如下.但IRC 服务器管理者封闭该聊天室时,该恶性功能不会运行.

- 文件运行及删除

- 泄露系统信息及网络信息

- 记录用户输入的内容(泄露用户的密码)

- 泄露特定游戏CD Key 代码

[IRC 服务器]

1**.2**.3*.70

注) 一些地址由 * 来替代.

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝百科 版权所有