混合型蠕蟲病毒
大小152061位元組,53248位元組,61440位元組,57344位元組
病毒別名,危害等級,
病毒別名
病毒大小:152061位元組,53248位元組,61440位元組,57344位元組
危害等級
★★★☆
1、病毒運行後,將複製自身到下列檔案:
%System%\tkbellexe.exe, 152061位元組
%System%\update_ob.exe, 152061位元組
%System%\hxdef.exe, 152061位元組
%System%\ravmond.exe, 152061位元組
%System%\iexplore.exe, 152061位元組
%System%\kernel66.dll, 152061位元組
%WinDir%\systra.exe, 152061位元組
2、同時釋放病毒包含的其他3個模組,分別是:
%Systemr%\odbc16.dll, 53248位元組
%System%\msjdbc11.dll, 53248位元組
%System%\mssign30.dll, 53248位元組
%System%\lmmib20.dll, 53248位元組
%System%\netmeeting.exe, 61440位元組
%System%\spollsv.exe, 61440位元組
%WinDir%\svchost.exe, 57344位元組
3、在硬碟根目錄創建自動播放配置程式和病毒自身,這樣在打開硬碟時,病毒就會啟動
c:\command.exe, 152061位元組
c:\autorun.inf, 49位元組
…...
4、在本地創建一個FTP服務程式,連線埠號是隨機數,如5012,可以通過讓病毒通過漏洞傳播。其中生成%SystemDir%\a大小約為56位元組,是FTP的腳本。通過FTP服務,可以傳播hxdef.exe(病毒自身)到包含漏洞的電腦上。
5、搜尋區域網路的共享資源,在已分享檔案夾中釋放病毒本身或壓縮檔形式的複製品。
6、在註冊表中添加多個啟動項,如下:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinHelp" = %System%\tkbellexe.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Hardware Profile" = %System%\hxdef.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VFW Encoder/Decoder Settings" = rundll32.exe mssign30.dll ondll_reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft NetMeeting Associates, Inc." = netmeeting.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Program In Windows" = %System%\iexplore.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Shell Extension" = %System%\spollsv.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Protected Storage" = rundll32.exe mssign30.dll ondll_reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices]
"SystemTra" = %WinDir%\systra.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"run" = ravmond.exe
7、病毒會感染當前資料夾中的檔案。感染後檔案長度增加209413位元組。
8、共享%WinDir%\Media資料夾,已分享檔案夾名是Media。
9、修改文本檔案關聯,這樣打開檔案檔案的時候,病毒就會得到運行。
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
"" = update_ob.exe %1
10、在病毒運行的資料夾中,會生成臨時檔案results.txt和win2k.txt(或winxp.txt)。
11、掃描附近的電腦是否存在漏洞和弱口令,一旦發現就試圖感染它。弱口令表如下:
Guest
Administrator
zxcv
yxcv
xxx
xp
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
pw
pc
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
a
88888888
2600
2004
2003
123asd
123abc
123456789
1234567
123123
121212
12
11111111
110
007
00000000
000000
0
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
1
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
12、可以通過OutLook和自身內置的SMTP程式傳送帶毒郵件。通過OutLook傳送的郵件是直接回復信箱中已有的信件,欺騙性較高。通過自帶的SMTP程式發現郵件的附屬檔案名可能是:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
13、通過將自身複製到KaZaA的已分享檔案夾,可以通過P2P軟體進行傳播。共享的檔案名稱是wrar320sc、REALONE、BlackIcePCPSetup_creak、Passware5.3、word_pass_creak、HEROSOFT、orcard_original_creak、rainbowcrack-1.1-win、W32Dasm、setup等,檔案的擴展名可能是.exe、.src、.bat、.pif。
15、將收集的密碼等信息保存在C:\NetLog.txt中,傳送給病毒製作者。
16、搜尋所有的移動硬碟(包括隨身碟等)和映射驅動器(SUBST),將其中的.EXE檔案的擴展名修改為.zmx,並設定為隱藏和系統屬性,然後將病毒自身取代原檔案。
