|
|
发表于 2005-3-15 21:01:16
|
显示全部楼层
我是不是中毒了?
Win32/IRCBot.worm.67098 是 Win32/IRCBot.worm蠕虫病毒的变种之一. 该蠕虫试图利
用Windows 的漏洞和 SQL 数据库中 SA 用户设置的密码过于简单的漏洞来传播. 运行该
程序会在 Windows 系统目录下生成 hpws.exe (67,098 bytes) 和 msdirectx.sys
(6,656 bytes)文件. 打开任意的 TCP 端口并试图从特定 IRC 服务器连接并以以管理者
(Operator)的身份执行恶意控制. 打开 TCP 14637 端口试图从外部非法连接.
内容
* 扩散程度
收集病毒信息的安博士公司在 2005年 02月 22日 21:41分 (GMT+9 标准) 从客户收
到一件感染报告.
* 传播路径
Win32/IRCBot.worm.67098 是利用如下的 Windows 漏洞来传播.
MS04-011 Microsoft Windows 系列安全升级中 LSASS 漏洞
英文 - www.microsoft.com/technet/security/Bulletin/MS04-011.mspx
韩文 - www.microsoft.com/korea/technet/security/bulletin/ms04-011.asp
MS03-049 工作站服务器缓冲区错误运行的代码问题
英文 - www.microsoft.com/technet/security/Bulletin/MS03-049.mspx
韩文 - www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp
MS03-026 RPC 的缓冲区错误运行的代码问题
英文 - www.microsoft.com/technet/security/Bulletin/MS03-026.mspx
韩文 - www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
Windows NT 系列(Windows NT, 2000, XP) 用户登录密码过于简单时对共享文件夹存在
的漏洞,蠕虫进入系统后进行感染. MS-SQL 数据库 SA 用户的密码过于简单时连接此数据库后会运行蠕虫. 在那些简单密码的用户名上输入的列表如下:
admin
staff
teacher
student
intranet
winpass
blank
office
control
nokia
siemens
compaq
cisco
oracle
orainstall
sqlpassoainstall
db1234
databasepassword
databasepass
dbpassword
dbpass
access
database
domainpassword
domainpass
domain
hello
bitch
exchange
backup
technical
loginpass
login
katie
george
chris
brian
susan
peter
win2000
winnt
winxp
win2k
win98
windows
oeminstall
oemuser
homeuser
accounting
accounts
internet
outlook
qwerty
server
system
default
changeme
linux
guest
1234567890
123456789
12345678
1234567
123456
12345
pass1234
passwd
password
password1
admins
administrat
administrateur
administrador
administrator
还可以通过 Win32/Sasser.worm 蠕虫使用的端口来传播. 先被Win32/Sasser.worm 文件
感染才能利用该端口.
TCP 5554 端口
Win32/IRCBot.worm.67098 试图连接以下共享文件夹或者管理目的共享文件夹.
c$\windows\system32
c$\winnt\system32
Admin$\system32
%s\ipc$
* 运行后症状
Win32/IRCBot.worm.67098 用 Visual C++ 制作并自动解压运行方式. 运行该蠕虫会在
Window 系统目录下生成如下文件.
C:\Window 系统目录\hpws.exe (67,098 bytes)
C:\Window 系统目录\msdirectx.sys(6,656 bytes)V3用Win-Trojan/Rootkit.6656诊断
注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me
C:\Windows\System, windows NT/2000, C:\WinNT\System32, windows XP是
C:\Windows\System32 文件夹.
msdirectx.sys 是参照蠕虫生成的 ID 进程来运行隐藏自身.
更改注册表当系统启动时自动运行.
HKEY_CURRENT_USER\Software\Microsoft\OLE
Win Drivers SSL = hpws.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Win Drivers SSL = hpws.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServuces
Win Drivers SSL = hpws.exe
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
Win Drivers SSL = hpws.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
Win Drivers SSL = hpws.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Win Drivers SSL = hpws.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Win Drivers SSL = hpws.exe
HKEY_Local_MACHINE\SYSTEM\CurrentSet001\Control\Lsa
Win Drivers SSL = hpws.exe
HKEY_Local_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Win Drivers SSL = hpws.exe
HKEY_USERS\用户账户的 S-id 值\Software\Microsoft\OLE
Win Drivers SSL = hpws.exe
HKEY_USER\用户账户的S-id 值\Software\Microsoft\Windows\
CurrentVersion\Run
Win Drivers SSL = hpws.exe
HKEY_USER\用户账户的S-id 值Software\Microsoft\Windows\
CurrentVersion\RunServices
Win Drivers SSL = hpws.exe
HKEY_USERS\用户账户的S-id 值\SYSTEM\CurrentControlSet\Control
\Lsa
Win Drivers SSL = hpws.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdiretctx
ImagePath = \??\C:\Windows 系统目录\msdirectx.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdiretctx
ImagePath = \??\C:\Windows系统目录\msdirectx.sys
感染的系统会打开以下端口处于 LISTENING 状态.
TCP 14637 端口
从外部利用该端口可以执行远程控制. 带着恶意心理的人连接他人电脑时会执行(运行程
序, 删除资料等) 或者盗取个人信息,各种文件,机密文件.
* 恶性的 IRC BOT 功能
特定 IRC(Internet Relay Chat: 利用因特网的一种聊天服务) 试图连接服务器和聊天室.
连接成功后,以管理者(Operator)的身份执行恶意控制.
一般可运行的恶性功能如下.但IRC 服务器管理者封闭该聊天室时,该恶性功能不会运行.
- 运行文件以及删除 (运行其它蠕虫, 病毒)
- 下载文件以及装入(盗取机密文件)
- 强制结束特定进程
- 确认系统信息 (泄露用户信息)
- 确认系统网路信息
- 搜索网路
- 强制解除共享文件夹
- 强制结束系统的 DCOM 服务
- MS-SQL 数据库中运行 xp_cmdshell 进程
- 代理服务器功能
Win32/IRCBot.worm.67098 是打开任意的 TCP 端口后试图从 IRC 服务的 TCP 2086 端
口来连接.
kthxowned.*******.us (* - 删除)
试图连接的频段和用户名如下.
#kthx# n1gg3r
清除方法
* 使用V3Pro 2002 Deluxe / V3 VirusBlock 2005 / V3Net for Windows Server的用户
1. 产品运行后, 通过[升级]按钮或升级文件, 升级最新引擎及补丁文件.
2. 首先指定要检查的驱动器,然后进行检查.
3. 在进程中诊断为恶性代码时, 选择提示窗口中的‘强制推出后进行治疗’
恶性代码退出后,会自动进行治疗(删除).
4. 进程检查和指定的驱动器检查结束后,会弹出一个治疗窗口.
在这里点击'治疗所有目录'按钮后,治疗(删除)被诊断的恶性代码.
5. 添加及更改过的注册表值会自动修改.
* MyV3 用户
1. 连接到MyV3 网站(http://clinic.ahnlab.com/clinic/myv3.html 等)后运行. 如没有安装
MyV3活动 X 控制键, 在'安全警告'窗口点击'YES'后安装即可.
2. 把MyV3升级为最新版本.
3. 首先指定要检查的驱动器, 然后点击[开始检查]按钮后开始检查.
4. 在进程中诊断恶性代码时, 选择提示窗口中的'强制结束后治疗'. 从而关闭的恶性代码会
自动被治疗(删除).
5. 进程检查和指定驱动器的检查结束后弹出一个治疗窗口.
在这里点击'治疗所有标题'按钮后, 对诊断的恶性代码开始进行治疗(删除).
6. 添加及更改的注册表值会自动修改. |
|
[复制链接]
IP卡
狗仔卡
显身卡