破壞方法:RBot變種。
集黑客,蠕蟲,後門功能於壹體。通過局域網***享目錄和利用系統漏洞進行傳播。
體內帶有弱口令字典,用戶如不註意設定密碼則系統很容易被攻破。
寫了註冊表啟動項,每次開機病毒都能啟動。
運行後連接特定IRC服務器的特定頻道,接受黑客控制,發送本地信息。
接收黑客發來的命令在本地執行。並將執行結果發回IRC聊天頻道。
病毒會掃描網段內的機器並猜測***享密碼,會占用大量網絡帶寬資源,容易造成局域網阻塞。
壹、IRC(Internet Relay Chat)連接。
試圖通過"***ccc.oxyww.com" 的TCP 34601 端口建立通訊。
二、文件和註冊表
1. 復制自己到系統目錄,命名為“system.exe”。
2. 在下列鍵添加啟動項“Login”使病毒隨Windows的啟動而自動運行。每隔壹分鐘進行壹次修改。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\RunServices
3. 修改系統設置。每隔兩分鐘進行壹次修改。
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE\EnableDCOM = N
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
\restrictanonymous = 0x1
三、監聽本地113端口,建立通訊後,接收遠程控制命令。可以進行下列控制操作。
1. 偷用戶正版遊戲的序列號。
Command & Conquer Generals 、
FIFA 2003 、NFSHP2 、SOF2 、
Soldier of Fortune II - Double Helix
Battlefield 1942
Project IGI 2 、Unreal Tournament 2003
Half-Life
2. 猜測局域網內其他機器的ipc連接密碼。壹旦成功連接,把病毒復制過去,並運行起來,進行新的破壞。病毒帶有壹個密碼字典,包含壹百多個數字、字母、詞匯的簡單組合。
3. 記錄鍵盤輸入。通過這種方式可以獲得用戶的各種密碼(Windows登陸、郵箱、論壇、遊戲、網絡支付等等)。
4. 發動SYN 攻擊,造成指定機器拒絕服務。
5. 下載文件並運行。往往用作傳遞新的遠程控制程序,進行直接控制。
6. 終止系統的進程和線程。
四、病毒頻繁的掃描內存進程,終止並禁止反病毒軟件的運行。
五、病毒可以建立壹個HTTP、FTP服務器,進行文件上傳、下載和運行操作。
六、病毒使用的字典如下,建議用戶壹定使用復雜的密碼。
1234567890
123456789
12345678
1234567
123456
12345
pass1234
passwd
password
password1
oracle
database
default
guest
wwwadmin
teacher
student
......