Win32.Troj.RBot.Ge

病毒名称(中文):

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

87

影响系统:

Win9xWinNTWin2000WinXPWin2003

病毒行为:

编写工具:VC6.0

传染条件:

这种蠕虫病毒通过网络共享进行传播，使用一个硬编码形式的弱密码登陆目标系统，在可访问的系统上产生自身的拷贝。

该病毒利用如下漏洞：

RemoteProcedureCall(RPC)DistributedComponentObjectModel(DCOM)漏洞

SQLServer2000中的缓冲区溢出漏洞

IIS5/WEBDAV缓冲区溢出

以下是微软对这些漏洞公布的信息：

MicrosoftSecurityBulletinMS03-026

MicrosoftSecurityBulletinMS02-061

MicrosoftSecurityBulletinMS03-007

发作条件:

系统修改:

A、在注册表主键：

在注册表主键"HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun"下，

添加如下键值："MicrosoftUpdate"="mswudp32.exe"

在注册表主键"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"下，

添加如下键值："MicrosoftUpdate"="mswudp32.exe"

在注册表主键"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices"下，

添加如下键值："MicrosoftUpdate"="mswudp32.exe"

B、在系统目录下添加以下文件：

%SYSTEM%mswupd32.exe

C、创建一个名为"owndrx01"的互斥体，只答应它的一个实列来运行

发作现象:

非凡说明:

A、该病毒会利用以下的的帐号和弱口令来尝试登录目标系统：

帐号：

administrador

administrateur

administrat

admins

admin

staff

root

computer

owner

student

teacher

wwwadmin

guest_0

default

database

dba

oracle

db2

口令：

administrator

administrador

administrateur

administrat

admins

admin

adm

password1

password

passwd

pass1234

pass

pwd

007

1

12

123

1234

12345

123456

1234567

12345678

123456789

1234567890

2000

2001

2002

2003

2004

test

guest

none

demo

unix

linux

changeme

default

system

server

root

null

qwerty

mail

outlook

web

www

internet

accounts

accounting

home

homeuser

user

oem

oemuser

oeminstall

windows

win98

win2k

winxp

winnt

win2000

qaz

asd

zxc

qwe

bob

jen

joe

fred

bill

mike

john

peter

luke

sam

sue

susan

peter

brian

lee

neil

ian

chris

eric

george

kate

bob

katie

mary

login

loginpass

technical

backup

exchange

fuck

bitch

slut

sex

god

hell

hello

domain

domainpass

domainpassword

database

access

dbpass

dbpassword

databasepass

data

databasepassword

db1

db2

db1234

sa

sql

sqlpassoainstall

orainstall

oracle

ibm

cisco

dell

compaq

siemens

hp

nokia

xp

control

office

blank

winpass

main

lan

internet

intranet

student

teacher

staff

B、该病毒还具有后门功能。它会开放一个端口，等待远程恶意用户的指令。

这些指令可以是恶意用户实现以下操作：

下载病毒自身的更新版本

下载并执行文件

访问一个非凡的网站

发动SYN和ICMP洪发攻击

重启系统

窃取系统信息

使网络共享失效

打开并执行文件

执行与IRC相关的功能

C、该病毒还会窃取某些游戏软件的CD码。

会被它窃取CD码的游戏软件有：

CounterStrike

Counter-Strike(Retail)

TheGladiators

GunmanChronicles

Half-Life

IndustryGiant2

LegendsofMightandMagic

SoldiersOfAnarchy

UnrealTournament2003

UnrealTournament2004

IGI2:CovertStrike

FreedomForce

Battlefield1942

Battlefield1942(RoadToRome)

Battlefield1942(SecretWeaponsofWWII)

BattlefieldVietnam

BlackandWhite

CommandandConquer:Generals(ZeroHour)

JamesBond007:Nightfire

CommandandConquer:Generals

GlobalOperations

MedalofHonor:AlliedAssault

MedalofHonor:AlliedAssault:Breakthrough

MedalofHonor:AlliedAssault:Spearhead

NeedForSpeedHotPursuit2

NeedForSpeed:Underground

Shogun:TotalWar:WarlordEdition

FIFA2002

FIFA2003

NHL2002

NHL2003

NascarRacing2002

NascarRacing2003

RainbowSixIIIRavenShield

CommandandConquer:TiberianSun

CommandandConquer:RedAlert

CommandandConquer:RedAlert2

Chrome

Hidden&Dangerous2

SoldierofFortuneII-DoubleHelix

NeverwinterNights

NeverwinterNights(ShadowsofUndrentide)

D、它还会对目标网站发动拒绝式服务攻击。

• ·Worm.Korgo.e
• ·Worm.Korgo.g
• ·Win32.Troj.Mir2.lb
• ·Win32.Troj.MiFeng70
• ·Win32.Troj.MlWatcher
• ·Win32.Troj.Sced.a
• ·worm.hell00
• ·Worm.Mapson.c
• ·Win32.Troj.QQmsgTail.h
• ·Worm.Sdbot.Ge