病毒名称:
Worm.Tizibot.a.enc
类别: 蠕虫
病毒资料:
破坏方法:
PE-PACK压缩,VC++编写,蠕虫。
一旦执行,病毒将自我复制到系统文件夹.
%SYSDIR%\MSFramer.exe
它将创建下列注册表键值来使自己随Windows系统自启动:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"MS Configuration"="%SYSDIR%\MSFramer.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"MS Configuration"="%SYSDIR%\MSFramer.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"MS Configuration"="%SYSDIR%\MSFramer.exe"
网络传播:
它可以进行IPC弱口令猜测,可能的用户名、密码为:
"passWord"
"passwd"
"pass"
"pwd"
"password1"
"pass1234"
"administrator"
"admin"
"adm"
"1"
"12"
"123"
"1234"
"12346"
"123467"
"1234678"
"12346789"
"123467890"
"121"
"007"
"test"
"guest"
"none"
"changeme"
"default"
"system"
"server"
"null"
"qwerty"
"teacher"
"staff"
"oeminstall"
建议用户最好将密码设置越复杂越好。
后门功能 :
该病毒拥有后门程序功能,它允许远程用户获取访问受感染系统的权限。
它连接到一个Internet Relay Chat (IRC)服务器:ircdz.tizian-security.net,
加入频道:#.rtiz.,成为一个bot,等待来自恶意用户的下面命令:
CPU 速度
内存大小
Windows 平台, 版本号和产品 ID
病毒正常运行时间
当前登陆的用户
使共享网络失效
结束恶意程序
通过 DNS 解析 IP 和主机名
获取病毒状态
执行 .EXE 文件
打开文件
对 DNS 缓冲区进行洪水攻击
使 DCOM 失效/ 使共享失效
对 IRC 服务器断开/重新连接
改变 IRC 服务器
加入一个频道
离开一个频道
通过 IRC 发送私人信息
通过 HTTP 或 FTP 更新病毒
从 HTTP 或 FTP 服务器下载并执行一个文件
重启电脑
关闭电脑
使当前用户退出登陆
对正在运行的所有进程列表
对目标机器执行下面的洪水攻击
...
信息盗取:
它能够盗取用户系统信息,包括一些软件的CDKEY,序列号,ID
...
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-4-1