感染症状及介绍
Win32/IRCBot.worm.228037 是 Win32/Mytob.worm蠕虫的变种之一. 该蠕虫试图利用Windows系统漏洞来传播. 运行该蠕虫后会在Windows系统目录下生成msnrngr.exe (228,037 bytes)和SVKP.sys (2,368 bytes)文件,并修改注册表当系统启动时自动运行. 试图连接特定IRC服务器. 连接成功后,以管理者(Operator)的身份执行恶意控制.
技术分析
* 扩散程度
收集病毒信息的安博士公司已在 2005年 10月 13日 9:21分(GMT+9 标准) 从客户收到一件感染报告.
* 传播路径
[系统漏洞]
该蠕虫是与 Win32/IRCBot.worm 的变种一样,是通过Windows漏洞来传播.
MS03-039 RPC DCOM2 漏洞
英文 - http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
韩文 - http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
MS04-011 Microsoft Windows安全升级中存在的 LSASS 漏洞
英文 - http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx
韩文 - http://www.microsoft.com/korea/technet/security/bulletin/ms04-011.asp
[简单的用户密码]
Windows NT 系列(Windows NT, 2000, XP)的管理目的密码较简单时连接到此系统后运行蠕虫. 代入简单密码列表如下.
intranet
winpass
blank
office
control
nokia
siemens
compaq
cisco
orainstall
sqlpassoainstall
db1234
databasepassword
databasepass
dbpassword
dbpass
access
domainpassword
domainpass
domain
hello
bitch
exchange
backup
technical
loginpass
login
katie
george
chris
brian
susan
peter
win2000
winnt
winxp
win2k
win98
windows
oeminstall
oemuser
homeuser
accounting
accounts
internet
outlook
qwerty
server
system
changeme
linux
1234567890
123456789
12345678
1234567
123456
12345
pass1234
passwd
password
password1
oracle
database
default
guest
wwwadmin
teacher
student
owner
computer
staff
admins
administrat
administrateur
administrador
administrator
* 运行后症状
[生成文件]
在Windows系统目录下生成以下文件.
- msnrngr.exe (228,037 bytes)
- SVKP.sys (2,368 bytes)
注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me C:WindowsSystem, windows NT/2000, C:WinNTSystem32, windows XP是C:WindowsSystem32 文件夹.
[修改注册表]
修改注册表当系统启动时自动运行.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
的 "MSN Messenger"="msnrngr.exe"
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
的 "MSN Messenger"="msnrngr.exe"
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run
的 "MSN Messenger"="msnrngr.exe"
[修改服务]
修改注册表当系统启动时自动运行.
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
SVKP
"ImagePath"=“C:WINNTsystem32SVKP.sys “
[生成互斥]
生成以下互斥(Mutex)来防止重复运行.
- fuXion
[结束进程]
强行关闭以下运行中的进程.
i11r54n4.exe
irun4.exe
d3dupdate.exe
rate.exe
ssate.exe
winsys.exe
winupd.exe
SysMonXP.exe
bbeagle.exe
Penis32.exe
teekids.exe
MSBLAST.exe
mscvb32.exe
sysinfo.exe
PandaAVEngine.exe
wincfg32.exetaskmon.exe
zonealarm.exe
navapw32.exe
navw32.exe
zapro.exe
msblast.exe
netstat.exe
msconfig.exe
regedit.exe
[打开端口]
感染的系统会打开如下端口并处于等待状态(LISTENING).
- TCP 任意端口
从外部利用该端口可以执行远程控制. 带着恶意心理的人连接他人电脑时会执行(运行程序, 删除资料等) 或者盗取个人信息,各种文件,机密文件.
* 恶性 IRC bot 功能
试图连接特定 IRC(Internet Relay Chat: 利用因特网的一种聊天服务)服务器和聊天室.
连接成功后,以管理者(Operator)的身份执行恶意控制.
一般可运行的恶性功能如下.但IRC 服务器管理者封闭该聊天室时,该恶性功能不会运行.
- 运行文件并删除
- 下载文件并装入
- 泄露系统信息及网络信息
- 记录用户输入的内容(泄露用户的密码)
- 对特定 IP进行攻击 (因增加网络流量会崩溃)
- 泄露特定游戏 CD 密码
- 发送大量邮件(间谍邮件)
[IRC 服务列表]
试图连接的地址如下.
6*.1**.1*8.3* #**n*o# e**x*R
注) 一些地址由 * 来替代.
解决方案
* 使用V3Pro 2002 Deluxe / V3 VirusBlock 2005 / V3Net for Windows Server的用户
1. 产品运行后, 通过[升级]按钮或升级文件, 升级最新引擎及补丁文件.
2. 首先指定要检查的驱动器,然后进行检查.
3. 在进程中诊断为恶性代码时, 选择提示窗口中的‘强制推出后进行治疗’
恶性代码退出后,会自动进行治疗(删除).
4. 进程检查和指定的驱动器检查结束后,会弹出一个治疗窗口.
在这里点击'治疗所有目录'按钮后,治疗(删除)被诊断的恶性代码.
5. 添加及更改过的注册表值会自动修改.
* MyV3 用户
1. 连接到MyV3 网站(http://auth70.ahn.com.cn/shopping/myv3.jsp 等)后运行. 如没有安
装MyV3活动 X 控制键, 在'安全警告'窗口点击'YES'后安装即可.
2. 把MyV3升级为最新版本.
3. 首先指定要检查的驱动器, 然后点击[开始检查]按钮后开始检查.
4. 在进程中诊断恶性代码时, 选择提示窗口中的'强制结束后治疗'. 从而关闭的恶性代码会自动被治疗(删除).
5. 进程检查和指定驱动器的检查结束后弹出一个治疗窗口.
在这里点击'治疗所有标题'按钮后, 对诊断的恶性代码开始进行治疗(删除).
6. 添加及更改的注册表值会自动修改.