返回列表 发帖

主题
积分
68 
贝壳
68 个 
来自
山东青岛 
注册时间
2004-10-16 
最后登录
2013-4-14 

热情勋章勤劳勋章魅力勋章贡献勋章
楼主 跳转到 » 倒序看帖
打印
tT
神农架发表于 2007-3-12 17:25 | 只看该作者

Win32/IRCBot.worm.32436 病毒

种类: 蠕虫 发现时间: 2007-03-09

别名:BackDoor.IRC.Sdbot.928

感染症状及介绍
  Win32/IRCBot.worm.32436 是 Win32/IRCBot.worm入场的变种之一.该蠕虫试图利用Windows漏洞和Windows用户帐号密码漏洞来传播. 运行该蠕虫后会生成文件并修改注册表当系统启动时自动运行. 试图连接特定IRC服务器. 连接成功后,以管理者(Operator)的身份执行恶意控制.
技术分析  
* 传播路径

[运行系统安全漏洞]

该蠕虫利用Win32/IRCBot.worm 变更与Windows漏洞传播.

MS03-039 RPC DCOM2 漏洞
英文 - http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
韩文 - http://www.microsoft.com/korea/t ... lletin/MS03-039.asp

MS04-031 NetDDE 漏洞引起的远程代码运行问题
英文 - http://www.microsoft.com/technet/security/Bulletin/MS04-031.mspx
韩文 - http://www.microsoft.com/korea/t ... letin/MS04-031.mspx

MS06-040 服务器服务漏洞引起的远程代码运行问题
英文 - http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx
韩文 - http://www.microsoft.com/korea/t ... letin/MS06-040.mspx

[用户帐号密码漏洞]

WINDOWS NT 系列(WINDOWS NT, 2000, XP)共享文件夹的用户帐号存有密码漏洞时,连接系统后运行该蠕虫. 密码漏洞帐号的清单如下.

windows
visitor
test2
test1
telnet
ruler
remote
random
qwerty
public
private
poiuytre
password
passwd
oracle
nopass
nobody
newpass
network
monitor
money
manager
login
internet
install
hello
guest
default
debug
database
computer
coffee
backup
backdoor
anonymous
alpha
access
abc123
system
super
shadow
setup
security
secure
secret
123456789
12345678
1234567
123456
12345
00000000
0000000
000000
00000
server
asdfgh
admin


* 运行后症状

[打开端口]

感染的系统会打开如下端口并处于等待状态(LISTENING).

- TCP 1329 端口

- TCP 18566 端口

- TCP 20415 端口


* 恶性 IRC bot 功能

试图连接特定 IRC(Internet Relay Chat: 利用因特网的一种聊天服务)服务器和聊天室. 连接成功后,以管理者(Operator)的身份执行恶意控制.

一般可运行的恶性功能如下.但IRC 服务器管理者封闭该聊天室时,该恶性功能不会运行.

- 文件运行及删除
- 泄露系统信息及网络信息

[IRC 服务器]

**6.*5.*6.6*
1**.**8.*8.*

注) 一些地址由 * 来替代.
解决方案  
* V3VirusBlock 2002/V3VirusBlock 2005/V3Net for Windows Server 的用户

1. 产品运行后, 通过[升级]按钮或升级文件,升级最新引擎及补丁文件.
2. 首先指定要检查的驱动器,然后进行检查.
3. 在进程中诊断为恶性代码时, 选择提示窗口中的‘强制推出后进行治疗’.
恶性代码退出后,会自动进行治疗(删除).
4. 进程检查和指定的驱动器检查结束后,会弹出一个治疗窗口.
在这里点击'治疗所有目录'按钮后,治疗(删除)被诊断的恶性代码.
5. 添加及更改过的注册表值会自动修改.
6. 治疗失败或发生再次感染时,先用安全模式重启再治疗. 连续治疗失败或发生再次感染症状时,咨询客服中心。

* MyV3 用户

1. 连接到MyV3 网站( http://clinic.ahnlab.com/clinic/myv3.html 等)后运行. 如没有安装MyV3活动 X 控制键, 在'安全警告'窗口点击'YES'后安装即可.
2. 把MyV3升级为最新版本.
3. 首先指定要检查的驱动器, 然后点击[开始检查]按钮后开始检查.
4. 在进程中诊断恶性代码时, 选择提示窗口中的'强制结束后治疗'.
从而关闭的恶性代码会自动被治疗(删除).
5. 进程检查和指定驱动器的检查结束后弹出一个治疗窗口.
在这里点击'治疗所有标题'按钮后, 对诊断的恶性代码开始进行治疗(删除).
6. 添加及更改的注册表值会自动修改.
7. 治疗失败或发生再次感染时,先用安全模式重启再治疗. 连续治疗失败或发生再次感染症状时,咨询客服中心.
收藏 分享

天行健,君子以自强不息
地势坤,君子以厚德载物
   黑色海岸线欢迎您
——————————————————————————————
无限次的超越自己!

返回列表 回复 发帖