|
1 、复制自身到 %system32% 文件夹下,并按内置列表随机重新命名。
内置列表:
winamp.exe
winIogon.exe
firewall.exe
spooIsv.exe
spoolsvc.exe
Isass.exe
lssas.exe
algs.exe
logon.exe
iexplore.exe
csrs.exe
2 、新建注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值:字串: "Windows Logon Application"="C:\WINDOWS\System32\( 病毒名 )"
3 、衍生自删除 bat 文件在当前路径下,并调用删除自身, bat 文件名为随机生成。
4 、 IRC 服务器名:
hub.40684.com
5 、加入的 IRC 频道名:
频道名: #last
频道名: #rs2
用户名:随机
密码:空
6 、 IRC 服务端可响应下列命令:
nick :设置昵称
quit :退出
join :加入一个频道
open :
user: 设置用户名
unkuser %s %s %s :%s
pass: 设置口令
notice %S privmsg %s:
privmsg %s
notice %s :privmsg %s :
message
send
ping: 服务端向客户端发送 ping 命令
pong: 客户端回应 pong 命令
dcc send %s (%s): 传送文件
get /%s http/1.0\n\nhost: %s\n\n\n\n
mode %s +smntu :修改频道或用户模式
mode %s +xi001mode %s +smntu
userhost %smode %s +xi001mode %s +smntu
userhost %smode %s +xi001mode %s +smntu
451userhost %smode %s +xi001mode %s +smntu
302451userhost %smode %s +xi001mode %s +smntu
// 扫描命令模式
-x 3 2000 fh 1024 jan 1 0:00 .\n\ndrwxr-xr-x 3 2000 fh 1024 jan 1 0:00 ..
\n\n-rwxr-xr-x 3 2000 fh %u jan 1 0:00 %s\n\n
226 -\n\n-x 3 2000 fh 1024 jan 1 0:00 .\n\ndrwxr-xr-x 3 2000 fh 1024
jan 1 0:00 ..\n\n-rwxr-xr-x 3 2000 fh %u jan 1 0:00 % s\n\n
226 -\n\n-x 3 2000 fh 1024 jan 1 0:00 .\n\ndrwxr-xr-x 3 2000 fh 1024
jan 1 0:00 ..\n\n-rwxr-xr-x 3 2000 fh %u jan 1 0:00 % s\n\n
7 、自动连接以下 IRC 服务器列表:
6*.4*.2*6.*6:5190
6*.4*.2*6.*6:10324
6*.4*.2*6.*6:8080
6*.4*.2*6.*6:1863
6*.4*.2*6.*7:5190
6*.4*.2*6.*7:8080
6*.4*.2*6.*7:10324
6*.4*.2*6.*7:1863
6*.4*.2*6.*8:10324
6*.4*.2*6.*8:1863
6*.4*.2*6.*8:5190
6*.4*.2*6.*8:8080
6*.4*.2*6.*9:5190
6*.4*.2*6.*9:10324
6*.4*.2*6.*9:8080
6*.4*.2*6.*9:1863
8 、下载服务器地址及文件:
http://www.n*d*n*d.com/soo2.exe 72.10.167.74 (加拿大 纽宾士省 St.Quentin )
9 、枚举本地网络地址,创建大量线程扫描,发送 SYN 包到目的地址 135 端口,欲对目标地址
溢出攻击:
135/TCP epmap // 协议信息
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。
|
病毒标签:
病毒上报信箱: