分享
 
 
 

Worm.Coolbot.a.enc

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

病毒名称:

Worm.Coolbot.a.enc

类别: 蠕虫

病毒资料:

破坏方法:

LCC编写的蠕虫病毒,采用UPX压缩,是一种IRC的木马

一旦执行,病毒将自我复制到系统文件夹.

%SYSDIR%\winspsv.exe

它将创建下列注册表键值来使自己随Windows系统自启动:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

"Windows Services"="%SYSDIR%\winspsv.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion

\RunServices

"Windows Services"="%SYSDIR%\winspsv.exe"

病毒试图连接IRC服务器:klite6.dyn.nu,加入频道:#coolxboot

网络传播:

该病毒利用在 windows 2000 和 XP 系统上的 Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) 漏洞。

该漏洞允许攻击者获得在目标机器上完全的访问权限和执行代码权利。

通过对随机的 TCP/IP 地址的135端口的进行扫描,找到网络中存在安全漏洞的系统。

有关该漏洞的更多信息可以从下面的链接中找到:

Microsoft Security Bulletin MS03-026

病毒使用该漏洞进行传播,复制自己到存在漏洞的系统的下列目录下:

C:\Documents and Settings\Default User\Templates

C:\WINDOWS\Start Menu\Programs\Startup

C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup

\WINNT\Profiles\All Users\Start Menu\Programs

\Startup

\WINDOWS\Start Menu\Programs\Startup

\Documents and Settings\Default User\Templates

它通过 NetBios的远程延时执行功能执行这些文件

释放一个文件:remexec.exe,用来远程执行可执行程序

另外,该病毒还会在下面的拥有完全访问权限的网络共享中生成并执行自己的拷贝:

admin$

c$

d$

e$

print$

它可以进行IPC弱口令猜测,可能的用户名、密码组合为:

用户名:

"Guest"

"Owner"

"Root"

密码:

"1234"

"passWord"

"6969"

"harley"

"123456"

"golf"

"pussy"

"mustang"

"1111"

"shadow"

"1313"

"fish"

"5150"

"7777"

"qwerty"

"baseball"

"2112"

"letmein"

"12345678"

"12345"

"ccccccccccccccccccccccccccccccccccccccc"

"admin"

"Admin"

"Password"

"1"

"12"

"123"

"1234567"

"123456789"

"654321"

"54321"

"111"

"000000"

"00000000"

"11111111"

"88888888"

"pass"

"passwd"

"database"

"abcd"

"abc123"

"Oracle"

"sybase"

"123qwe"

"server"

"computer"

"Internet"

"super"

"123asd"

"ihavenopass"

"godblessyou"

"enable"

"xp"

"2002"

"2003"

"2600"

"0"

"110"

"111111"

"121212"

"123123"

"1234qwer"

"123abc"

"007"

"alpha"

"patrick"

"pat"

"administrator"

"root"

"sex"

"god"

"Foobar"

"a"

"aaa"

"abc"

"test"

"test123"

"temp"

"temp123"

"win"

"pc"

"asdf"

"secret"

"qwer"

"yxcv"

"zxcv"

"home"

"xxx"

"owner"

"login"

"Login"

"pwd"

"pass"

"love"

"mypc"

"mypc123"

"admin123"

"pw123"

"mypass"

"mypass123"

"pw"

"901100"

该病毒可以盗取如下用户的信息:

Tiberian Sun CDKey

Alert 2 CDKey

Command & Conquer Generals CDKey

FIFA 2003 CDKey

NFSHP2 CDKey

Gladiators CDKey

SOF2 CDKey

NWN CDKey

Rainbow Six III RavenShield CDKey

Battlefield 1942 CDKey

Project IGI 2 CDKey

Counter-Strike ( Retail ) CDKey

Unreal Tournament 2003 CDKey

Half-Life CDKey

注: %SYSDIR% 是可变的WINDOWS系统文件夹,默认为: C:\Windows\System (Windows 95/98/Me),

C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP).

病毒的清除法:

使用光华反病毒软件,彻底删除。

病毒演示:

病毒FAQ:

Windows下的PE病毒。

发现日期:

2004-1-31

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有