Worm.Coolbot.a

2008-02-23 09:29:18来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

病毒名称: Worm.Coolbot.a 类别: 蠕虫 病毒资料: 破坏方法:

LCC编写的蠕虫病毒,采用UPX压缩,是一种IRC的木马

一旦执行,病毒将自我复制到系统文件夹.

%SYSDIR%\winspsv.exe

它将创建下列注册表键值来使自己随Windows系统自启动:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Windows Services"="%SYSDIR%\winspsv.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion
\RunServices
"Windows Services"="%SYSDIR%\winspsv.exe"

病毒试图连接IRC服务器:klite6.dyn.nu,加入频道:#coolxboot

网络传播:

该病毒利用在 windows 2000 和 XP 系统上的 Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) 漏洞。
该漏洞允许攻击者获得在目标机器上完全的访问权限和执行代码权利。

通过对随机的 TCP/IP 地址的135端口的进行扫描,找到网络中存在安全漏洞的系统。

有关该漏洞的更多信息可以从下面的链接中找到:

Microsoft Security Bulletin MS03-026

病毒使用该漏洞进行传播,复制自己到存在漏洞的系统的下列目录下:
C:\Documents and Settings\Default User\Templates
C:\WINDOWS\Start Menu\Programs\Startup
C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup
\WINNT\Profiles\All Users\Start Menu\Programs
\Startup
\WINDOWS\Start Menu\Programs\Startup
\Documents and Settings\Default User\Templates
它通过 NetBios的远程延时执行功能执行这些文件

释放一个文件:remexec.exe,用来远程执行可执行程序<这是一个第三方程序,来自 Sysinternals>


另外,该病毒还会在下面的拥有完全访问权限的网络共享中生成并执行自己的拷贝:

admin$
c$
d$
e$
print$

它可以进行IPC弱口令猜测,可能的用户名、密码组合为:
用户名:
"Guest"
"Owner"
"Root"
密码:
"1234"
"passWord"
"6969"
"harley"
"123456"
"golf"
"pussy"
"mustang"
"1111"
"shadow"
"1313"
"fish"
"5150"
"7777"
"qwerty"
"baseball"
"2112"
"letmein"
"12345678"
"12345"
"ccccccccccccccccccccccccccccccccccccccc"
"admin"
"Admin"
"Password"
"1"
"12"
"123"
"1234567"
"123456789"
"654321"
"54321"
"111"
"000000"
"00000000"
"11111111"
"88888888"
"pass"
"passwd"
"database"
"abcd"
"abc123"
"Oracle"
"sybase"
"123qwe"
"server"
"computer"
"Internet"
"super"
"123asd"
"ihavenopass"
"godblessyou"
"enable"
"xp"
"2002"
"2003"
"2600"
"0"
"110"
"111111"
"121212"

"123123"
"1234qwer"
"123abc"
"007"
"alpha"
"patrick"
"pat"
"administrator"
"root"
"sex"
"god"
"Foobar"
"a"
"aaa"
"abc"
"test"
"test123"
"temp"
"temp123"
"win"
"pc"
"asdf"
"secret"
"qwer"
"yxcv"
"zxcv"
"home"
"xxx"
"owner"
"login"
"Login"
"pwd"
"pass"
"love"
"mypc"
"mypc123"
"admin123"
"pw123"
"mypass"
"mypass123"
"pw"
"901100"

该病毒可以盗取如下用户的信息:
Tiberian Sun CDKey
Alert 2 CDKey
Command & Conquer Generals CDKey
FIFA 2003 CDKey
NFSHP2 CDKey
Gladiators CDKey
SOF2 CDKey
NWN CDKey
Rainbow Six III RavenShield CDKey
Battlefield 1942 CDKey
Project IGI 2 CDKey
Counter-Strike ( Retail ) CDKey
Unreal Tournament 2003 CDKey
Half-Life CDKey

注: %SYSDIR% 是可变的WINDOWS系统文件夹,默认为: C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP).
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。

发现日期: 2004-1-31

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:Worm.P2P.SpyBot.gen.r.enc

下一篇:Worm.P2P.Delf.t