Win32/IRCBot.worm.293888.B简介_Win32/IRCBot.worm.293888.B个人资料_Win32/IRCBot.worm.293888.B微博_百科网
A-A+

Win32/IRCBot.worm.293888.B简介_Win32/IRCBot.worm.293888.B个人资料_Win32/IRCBot.worm.293888.B微博

2017-08-20 13:03:55 科学百科 阅读 7 次

 

Win32/IRCBot.worm.293888.B/Win32/IRCBot.worm.293888.B 编辑

描述
Win32/IRCBot.worm.293888.B 是 Win32/IRCBot.worm蠕虫的变种之一.该蠕虫试图利用Windows漏洞和Windows用户帐号密码漏洞来传播. 运行该蠕虫后会在Windows系统文件夹下生成 tdrdhwd.exe (293,888 bytes), 并修改注册表当系统启动时自动运行. 试图连接特定IRC服务器. 连接成功后,以管理者(Operator)的身份执行恶意控制.

技术分析/Win32/IRCBot.worm.293888.B 编辑


* 传播路径

【运行系统安全漏洞】

该蠕虫利用Win32/IRCBot.worm 变更与Windows漏洞传播.

MS03-039 RPC DCOM2 漏洞
英文 - http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
韩文 - http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
【用户帐号密码漏洞】

WINDOWS NT 系列(WINDOWS NT, 2000, XP)共享文件夹的用户帐号存有密码漏洞时,连接系统后运行该蠕虫. 密码漏洞帐号的清单如下.

administrator
administrador
administrateur
administrat
admins
admin
staff
computer
owner
student
teacher
wwwadmin
guest
default
database
oracle
administrator
administrador
administrateur
administrat
admins
admin
password1
password
passwd
pass1234
12345
123456
1234567
12345678
123456789
1234567890
guest
linux
changeme
default
system
server
qwerty
outlook
internet
accounts
accounting
homeuser
oemuser
oeminstall
windows
win98
win2k
winxp
winnt
win2000
peter
susan
peter
brian
chris
george
katie
login
loginpass
technical
backup
exchange
bitch
hello
domain
domainpass
domainpassword
database
access
dbpass
dbpassword
databasepass
databasepassword
db1234
sqlpassoainstall
orainstall
oracle
cisco
compaq
siemens
nokia
control
office
blank
winpass
internet
intranet
student
teacher
staff


* 运行后症状

【生成文件】

在Windows系统文件夹生成如下文件.

- tdrdhwd.exe (293,888 bytes)

注) Windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me是C:WindowsSystem, Windows NT/2000是C:WinNTSystem32, Windows XP是C:WindowsSystem32.

【修改注册表】

修改注册表当系统启动时自动运行.

  HKEY_LOCAL_MACHINE
        SOFTWARE
            Microsoft
                 Windows
                     CurrentVersion
                          Run
start up service = tdrdhwd.exe

   HKEY_LOCAL_MACHINE
        SOFTWARE
            Microsoft
                 Windows
                     CurrentVersion
                          RunServices
start up service = tdrdhwd.exe

   HKEY_USERS
        S-1-5-21-343818398-1417001333-839522115-1003
            Software
                 Microsoft
                     OLE
start up service = tdrdhwd.exe


* 恶性 IRC bot 功能

试图连接特定 IRC(Internet Relay Chat: 利用因特网的一种聊天服务)服务器和聊天室. 连接成功后,以管理者(Operator)的身份执行恶意控制.

一般可运行的恶性功能如下.但IRC 服务器管理者封闭该聊天室时,该恶性功能不会运行.

- 文件运行及删除
- 泄露系统信息及网络信息
- 记录用户输入的内容(泄露用户的密码)
- 泄露特定游戏CD Key 代码

【IRC 服务器】

1**.2**.3*.70   

注) 一些地址由 * 来替代.

新款女性防摔手机壳,限时促销...
立即购买