Win32/IRCBot.worm.228037:擴散程度,傳播路徑,

Win32/IRCBot.worm.228037 是 Win32/Mytob.worm蠕蟲的變種之一· 該蠕蟲試圖利用Windows系統漏洞來傳播· 運行該蠕蟲後會在Windows系統目錄下生成msnrngr.exe （228,037 bytes）和SVKP.sys （2,368 bytes）檔案，並修改註冊表當系統啟動時自動運行· 試圖連線特定IRC伺服器· 連線成功後，以管理者（Operator）的身份執行惡意控制。

基本介紹

中文名：Win32/IRCBot.worm.228037
外文名：Win32/IRCBot.worm.228037
性質：病毒
時間：2005年

擴散程度,傳播路徑,

擴散程度

收集病毒信息的安博士公司已在 2005年 10月 13日 9：21分（GMT+9 標準）從客戶收到一件感染報告.

傳播路徑

[系統漏洞]

該蠕蟲是與 Win32/IRCBot.worm 的變種一樣，是通過Windows漏洞來傳播.

MS03-039 RPC DCOM2 漏洞

[簡單的用戶密碼]

Windows NT 系列（Windows NT,2000,XP）的管理目的密碼較簡單時連線到此系統後運行蠕蟲. 代入簡單密碼列表如下.

intranet

winpass

blank

office

control

nokia

siemens

compaq

cisco

orainstall

sqlpassoainstall

db1234

databasepassword

databasepass

dbpassword

dbpass

access

domainpassword

domainpass

domain

hello

bitch

exchange

backup

technical

loginpass

katie

george

chris

brian

susan

peter

win2000

winnt

winxp

win2k

win98

windows

oeminstall

oemuser

homeuser

accounting

accounts

internet

outlook

qwerty

server

system

changeme

linux

1234567890

123456789

12345678

1234567

123456

12345

pass1234

passwd

password

password1

oracle

database

default

guest

wwwadmin

teacher

student

owner

computer

staff

admins

administrat

administrateur

administrador

administrator

* 運行後症狀

[生成檔案]

在Windows系統目錄下生成以下檔案.

- msnrngr.exe （228,037 bytes)

- SVKP.sys （2,368 bytes)

注） windows系統資料夾的類型以版本不同有差異. 在Windows 95/98/Me C:\Windows\System,windows NT/2000,C:\WinNT\System32,windows XP是C:\Windows\System32 資料夾.

[修改註冊表]

修改註冊表當系統啟動時自動運行.

HKEY_LOCAL_MACHINE\

Software\

Microsoft\

Windows\

CurrentVersion\

Run\

的 "MSN Messenger"="msnrngr.exe"

HKEY_LOCAL_MACHINE\

Software\

Microsoft\

Windows\

CurrentVersion\

RunServices\

的 "MSN Messenger"="msnrngr.exe"

HKEY_CURRENT_USER\

Software\

Microsoft\

Windows\

CurrentVersion\

Run

的 "MSN Messenger"="msnrngr.exe"

[修改服務]

修改註冊表當系統啟動時自動運行.

HKEY_LOCAL_MACHINE\

SYSTEM\

CurrentControlSet\

Services\

SVKP

"ImagePath"=“C:\WINNT\system32\SVKP.sys “

[生成互斥]

生成以下互斥（Mutex）來防止重複運行.

- fuXion

[結束進程]

強行關閉以下運行中的進程.

i11r54n4.exe

irun4.exe

d3dupdate.exe

rate.exe

ssate.exe

winsys.exe

winupd.exe

SysMonXP.exe

bbeagle.exe

Penis32.exe

teekids.exe

MSBLAST.exe

mscvb32.exe

sysinfo.exe

PandaAVEngine.exe

wincfg32.exetaskmon.exe

zonealarm.exe

navapw32.exe

navw32.exe

zapro.exe

msblast.exe

netstat.exe

msconfig.exe

regedit.exe

[打開連線埠]

感染的系統會打開如下連線埠並處於等待狀態（LISTENING).

- TCP 任意連線埠

從外部利用該連線埠可以執行遠程控制. 帶著惡意心理的人連線他人電腦時會執行（運行程式，刪除資料等）或者盜取個人信息，各種檔案，機密檔案.

* 惡性 IRC bot 功能

試圖連線特定 IRC(Internet Relay Chat: 利用網際網路的一種聊天服務）伺服器和聊天室.

連線成功後，以管理者（Operator）的身份執行惡意控制.

一般可運行的惡性功能如下.但IRC 伺服器管理者封閉該聊天室時，該惡性功能不會運行.

- 運行檔案並刪除

- 下載檔案並裝入

- 泄露系統信息及網路信息

- 記錄用戶輸入的內容（泄露用戶的密碼）

- 對特定 IP進行攻擊（因增加網路流量會崩潰）

- 泄露特定遊戲 CD 密碼

- 傳送大量郵件（間諜郵件)

[IRC 服務列表]

試圖連線的地址如下.

6*.1**.1*8.3* #**n*o# e**x*R

注）一些地址由 * 來替代.

解決方案

* 使用V3Pro 2002 Deluxe / V3 VirusBlock 2005 / V3Net for Windows Server的用戶

⒈產品運行後，通過[升級]按鈕或升級檔案，升級最新引擎及補丁檔案.

⒉首先指定要檢查的驅動器，然後進行檢查.

⒊在進程中診斷為惡性代碼時，選擇提示視窗中的‘強制推出後進行治療’

惡性代碼退出後，會自動進行治療（刪除）.

⒋進程檢查和指定的驅動器檢查結束後，會彈出一個治療視窗.

在這裡點擊'治療所有目錄'按鈕後，治療（刪除）被診斷的惡性代碼.

⒌添加及更改過的註冊表值會自動修改.

* MyV3 用戶

裝MyV3活動 X 控制鍵，在'安全警告'視窗點擊'YES'後安裝即可.

⒉把MyV3升級為最新版本.

⒊首先指定要檢查的驅動器，然後點擊[開始檢查]按鈕後開始檢查.

⒋在進程中診斷惡性代碼時，選擇提示視窗中的'強制結束後治療'. 從而關閉的惡性代碼會自動被治療（刪除）.

⒌進程檢查和指定驅動器的檢查結束後彈出一個治療視窗.

在這裡點擊'治療所有標題'按鈕後，對診斷的惡性代碼開始進行治療（刪除）.

⒍添加及更改的註冊表值會自動修改.

Win32/IRCBot.worm.228037

基本介紹

擴散程度

傳播路徑

相關詞條

熱門詞條