上午杀完,下午又出来了一次。
又找了一些信息。http://www.ahn.com.cn/security/Vir_view.asp?id=674&pageNo=6
该病毒是Win32/IRCBot.worm.64512.R
症状
Win32IRCBot.worm.64512.R 是 Win32/IRCBot.worm蠕虫变种之一. 该蠕虫试图利
用Windows漏洞来传播. 运行该蠕虫后会在Windows目录下生成 taskcntr.exe
(64,512 bytes)和在Windows系统目录下生成remon.sys (7,168 bytes)文件并修改注册
表当系统启动时自动运行. 试图连接特定IRC服务器. 连接成功后,以管理者(Operator)的身份执行恶意控制.
内容
* 扩散程度
收集病毒信息的安博士公司已在 2005年 9月 20日 13:46分(GMT+9 标准) 从客户收到一件感染报告.
* 传播路径
该蠕虫是与 Win32/IRCBot.worm 的变种一样,是通过Windows漏洞来传播.
MS03-039 RPC DCOM2漏洞
英文 - http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
韩文 - http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
MS04-011 Microsoft Windows安全升级中存在的 LSASS 漏洞
英文 - www.microsoft.com/technet/security/Bulletin/MS04-011.mspx
韩文 - www.microsoft.com/korea/technet/security/bulletin/ms04-011.asp
MS05-039 即插即用的漏洞引起的远程控制运行与权限问题
英文 - http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
韩文 - http://www.microsoft.com/korea/technet/security/bulletin/MS05-039.mspx
Windows NT 系列(Windows NT, 2000, XP)的管理目的密码较简单时连接到此系统后运行蠕虫. 代入简单密码列表如下.
staff
intranet
winpass
blank
office
control
nokia
(略)
该蠕虫试图利用 Windows 的漏洞和 SQL 数据库中 SA 用户设置的密码过于简单的漏洞来传播.
xp_cmdshell
代入的密码如下.
admin
server
asdfgh
!@#$%
654321
123421
12345
admi1
admir
mssql
(略)
* 运行后症状
[生成文件]
在Windows目录下生成以下文件.
- taskcntr.exe (64,512 bytes)
在Windows目录下生成以下文件.
- remon.sys (7,168 bytes) – V3诊断为 Win-Trojan/AgentRootkit.7168
注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me/XP
C:\Windows, windows NT/2000, C:\WinNT 文件夹.
注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me C:\Windows\System, windows NT/2000, C:\WinNT\System32, windows XP是C:\Windows\System32 文件夹.
[修改服务]
修改注册表当系统启动时自动运行.
HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
remon
ImagePath = " remon.sys "
[结束进程]
强行关闭以下运行中的进程.
i11r54n4.exe
ratewinsys.exe
irun4.exe
4.exe
bbeagle.exe
d3dupdate.expdate.exids.exe
Penis32.exe
(略)
[连接 FTP ]
试图连接以下 FTP 服务器并下载恶性文件.
ftp.**c.e**
ftp.n**a.u**c.*du
ftp.**l.com
ftp.s**a*t**.c**n*e*.com
ftp.*.**u
ftp.**c.edu
ftp.*pe**dap.o**
ftp.c**em**d.net
ftp.*ol**of*.**ms**t.com
ftp.co**o.c**om*o.c*
ftp.conn**p.co**c**
ftp.**m
(略)
[打开端口]
感染的系统会打开如下端口并处于等待状态(LISTENING).
- TCP 任意端口
从外部利用该端口可以执行远程控制. 带着恶意心理的人连接他人电脑时会执行(运行程序, 删除资料等) 或者盗取个人信息,各种文件,机密文件.
* 恶性 IRC bot 功能
试图连接特定 IRC(Internet Relay Chat: 利用因特网的一种聊天服务)服务器和聊天室.
连接成功后,以管理者(Operator)的身份执行恶意控制.
一般可运行的恶性功能如下.但IRC 服务器管理者封闭该聊天室时,该恶性功能不会运行.
- 运行文件并删除
- 下载文件并装入
- 泄露系统信息及网络信息
- 对特定 IP进行攻击 (因增加网络流量会崩溃)
试图连接的地址如下.
h**.4**4*.**m #hv SS
注) 一些地址由 * 来替代.
清除方法
* 使用V3Pro 2002 Deluxe / V3 VirusBlock 2005 / V3Net for Windows Server的用户
1. 产品运行后, 通过[升级]按钮或升级文件, 升级最新引擎及补丁文件.
2. 首先指定要检查的驱动器,然后进行检查.
3. 在进程中诊断为恶性代码时, 选择提示窗口中的‘强制推出后进行治疗’
恶性代码退出后,会自动进行治疗(删除).
4. 进程检查和指定的驱动器检查结束后,会弹出一个治疗窗口.
在这里点击'治疗所有目录'按钮后,治疗(删除)被诊断的恶性代码.
5. 添加及更改过的注册表值会自动修改.
* MyV3 用户
1. 连接到MyV3 网站(http://auth70.ahn.com.cn/shopping/myv3.jsp 等)后运行. 如没有安
装MyV3活动 X 控制键, 在'安全警告'窗口点击'YES'后安装即可.
2. 把MyV3升级为最新版本.
3. 首先指定要检查的驱动器, 然后点击[开始检查]按钮后开始检查.
4. 在进程中诊断恶性代码时, 选择提示窗口中的'强制结束后治疗'. 从而关闭的恶性代码会自动被治疗(删除).
5. 进程检查和指定驱动器的检查结束后弹出一个治疗窗口.
在这里点击'治疗所有标题'按钮后, 对诊断的恶性代码开始进行治疗(删除).
6. 添加及更改的注册表值会自动修改.