Worm.Tizibot.a.enc

2008-02-23 09:27:37来源：互联网阅读 ()

病毒名称: Worm.Tizibot.a.enc 类别：蠕虫病毒资料：破坏方法：

PE-PACK压缩，VC 编写，蠕虫。

一旦执行，病毒将自我复制到系统文件夹.
％SYSDIR％\MSFramer.exe

它将创建下列注册表键值来使自己随Windows系统自启动:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"MS Configuration"="％SYSDIR％\MSFramer.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"MS Configuration"="％SYSDIR％\MSFramer.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"MS Configuration"="％SYSDIR％\MSFramer.exe"

网络传播：

它可以进行IPC弱口令猜测，可能的用户名、密码为：
"passWord"
"passwd"
"pass"
"pwd"
"password1"
"pass1234"
"administrator"
"admin"
"adm"
"1"
"12"
"123"
"1234"
"12346"
"123467"
"1234678"
"12346789"
"123467890"
"121"
"007"
"test"
"guest"
"none"
"changeme"
"default"
"system"
"server"
"null"
"qwerty"
"teacher"
"staff"
"oeminstall"

建议用户最好将密码设置越复杂越好。

后门功能：
该病毒拥有后门程序功能，它允许远程用户获取访问受感染系统的权限。
它连接到一个Internet Relay Chat (IRC)服务器：ircdz.tizian-security.net，

加入频道：#.rtiz.，成为一个bot，等待来自恶意用户的下面命令：

CPU 速度
内存大小
Windows 平台, 版本号和产品 ID
病毒正常运行时间
当前登陆的用户
使共享网络失效
结束恶意程序
通过 DNS 解析 IP 和主机名
获取病毒状态
执行 .EXE 文件
打开文件
对 DNS 缓冲区进行洪水攻击
使 DCOM 失效/ 使共享失效
对 IRC 服务器断开/重新连接
改变 IRC 服务器
加入一个频道
离开一个频道
通过 IRC 发送私人信息
通过 HTTP 或 FTP 更新病毒
从 HTTP 或 FTP 服务器下载并执行一个文件
重启电脑
关闭电脑
使当前用户退出登陆
对正在运行的所有进程列表
对目标机器执行下面的洪水攻击
...

信息盗取：
它能够盗取用户系统信息，包括一些软件的CDKEY，序列号，ID
...

病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-4-1

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有