264255319E1368F851D161C50D227212
公开范围: 完全公开
危害等级: 5
文件长度: 脱壳前1,073,007 字节,脱壳后2,007,040 字节
感染系统: Win98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: Thinstall 2.4x - 2.5x -> Jitit Software [Overlay]
PEncrypt 3.1 Final -> junkcode
命名对照: HBEDV [Worm / IrcBot.uxm]
病毒描述:
该病毒运行后,衍生病毒副本到系统目录下,添加注册表自动运行项以跟随系统引导病毒
体。病毒自动连接IRC服务器,接收指令扫描本地网络VNC开放的5900端口,如有则试图获取密
码。受感染主机可被完全控制、创建FTP、Tftp、对目标主机进行拒绝服务攻击、接受指令下载
任意文件到本机运行等恶意行为。
行为分析:
本地行为:
1、文件运行后会衍生副本:
%System32%\ mswinsvcr.exe 1,643,940 字节
2、新增注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
键值:Microsoft
字符串: "mswinsvcr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices\键值:Microsoft
字符串: ""mswinsvcr.exe"
网络行为:
协议:IRC
目的端口:6667
域名或IP地址:apx.e***.es(212.241.210.***(英国))
Bot启动后与服务器的交互信息:
NICK [00|CHN|XP|SP1]-7348 /*昵称由感染机信息加随机数字组成*/
USER hwpyae 0 0 :[00|CHN|XP|SP1]-7348 /*用户名由随机字母序列加昵称名*/
:irc.my.sql 001 [00|CHN|XP|SP1]-7348 :Welcome to the oc256 IRC Network
[00|CHN|XP|SP1]-7348!
hwpyae@222.171.7.213
:irc.my.sql 002 [00|CHN|XP|SP1]-7348 :Your host is irc.my.sql, running version
Unreal3.2-beta19
:irc.my.sql 003 [00|CHN|XP|SP1]-7348 :This server was created Sun Feb 8 18:58:31 2004
:irc.my.sql 004 [00|CHN|XP|SP1]-7348 irc.my.sql Unreal3.2-beta19
加入频道:#X
频道密码:d
加入频道后接收的指令:
PRIVMSG #x :Scanner - Random Method started at 10.x.x.x
:vnc-5900 for 0 minutes 5 delay 200 threads
/*构造本地网络地址,创建200个线程扫描5900端口,判断是否有VNC软件*/
本Bot支持的指令集如下:
ping
pong
join %s %s\n\n
nick %s\n\n
kick
part
quit
notice
privmsg
chart
login
[trying: %s (%s)]
[psniff]
[key log]
[tcp]: %s %s flooding: (%s:%s) for %s seconds.
[ping]: sending %d pings to %s. packet size: %d, timeout: %d(ms).
[udp]: sending %d packets to: %s. packet size: %d, delay: %d(ms). bitsCN_com
[icmp]: flooding: (%s) for %s seconds.
[syn]: flooding: (%s:%s) for %s seconds.
[ddos]: flooding: (%s:%s) for %s seconds.
[ftp]: server started on port: %d, file: %s, request: %s.
[download]: downloading url: %s to: %s.
[update]: downloading update from: %s.
……
病毒可通过下列字符列表猜解网络用户账号,以取得高级权限
用户名表:
sa、root、admin、internet、administrator、administrador、
administrateur、administrat、admins、adm
密码列表:
password1、password、passwd、pass1234、pass、pwd、007、1、
12、123、1234、12345、123456、1234567、12345678、123456789、
1234567890、2000、2001、2002、2003、2004、test、guest、none、
demo、unix、linux、changeme、default、system、server、null qwerty、
mail、outlook、web、www、accounts、accounting、home、homeuser、
user、oem、oemuser、oeminstall、windows、win98、win2k、winxp、
winnt、win2000、qaz、asd、bob、peter、zxc、qwe、jen、joe、fred、
bill、mike、john、luke、sam、sue、susan、brian、lee、neil、an、
chris、eric、george、kate、katie、mary、login、loginpass、
technical、backup、exchange、f**k、bitch、slut、sex、god、hell、
hello、domain、domainpass、domainpassword、database、access、
dbpass、dbpassword、databasepass、data、databasepassword、db1、
db2、db1234、sql、sqlpassoainstall、orainstall、oracle、ibm、
cisco、dell、compaq、siemens、hp、nokia、xp、control、office、
blank、winpass、main、lan、intranet、student、teacher、staff
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
feedom.net国内最早的网管网站
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
--------------------------------------------------------------------------------
清除方案:
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线“进程管理”关闭病毒进程:
mswinsvcr.exe
(2)删除病毒文件:
%System32%\ mswinsvcr.exe
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
bitsCN_net中国网管博客
\Windows\CurrentVersion\Run\
键值:Microsoft
字符串: "mswinsvcr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices\
键值:Microsoft
字符串: ""mswinsvcr.exe"
登录
| 注册
| 创建俱乐部
| 加入俱乐部
搜索
帮助
