當前位置:成語大全網 - 新華字典 - winmon.exe

winmon.exe

BackDoor.RBot.aaa

破壞方法:RBot變種。

集黑客,蠕蟲,後門功能於壹體。通過局域網***享目錄和利用系統漏洞進行傳播。

體內帶有弱口令字典,用戶如不註意設定密碼則系統很容易被攻破。

寫了註冊表啟動項,每次開機病毒都能啟動。

運行後連接特定IRC服務器的特定頻道,接受黑客控制,發送本地信息。

接收黑客發來的命令在本地執行。並將執行結果發回IRC聊天頻道。

病毒會掃描網段內的機器並猜測***享密碼,會占用大量網絡帶寬資源,容易造成局域網阻塞。

壹、IRC(Internet Relay Chat)連接。

試圖通過"***ccc.oxyww.com" 的TCP 34601 端口建立通訊。

二、文件和註冊表

1. 復制自己到系統目錄,命名為“system.exe”。

2. 在下列鍵添加啟動項“Login”使病毒隨Windows的啟動而自動運行。每隔壹分鐘進行壹次修改。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion

\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion

\RunServices

3. 修改系統設置。每隔兩分鐘進行壹次修改。

HKEY_LOCAL_MACHINE\Software\Microsoft\OLE\EnableDCOM = N

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

\restrictanonymous = 0x1

三、監聽本地113端口,建立通訊後,接收遠程控制命令。可以進行下列控制操作。

1. 偷用戶正版遊戲的序列號。

Command & Conquer Generals 、

FIFA 2003 、NFSHP2 、SOF2 、

Soldier of Fortune II - Double Helix

Battlefield 1942

Project IGI 2 、Unreal Tournament 2003

Half-Life

2. 猜測局域網內其他機器的ipc連接密碼。壹旦成功連接,把病毒復制過去,並運行起來,進行新的破壞。病毒帶有壹個密碼字典,包含壹百多個數字、字母、詞匯的簡單組合。

3. 記錄鍵盤輸入。通過這種方式可以獲得用戶的各種密碼(Windows登陸、郵箱、論壇、遊戲、網絡支付等等)。

4. 發動SYN 攻擊,造成指定機器拒絕服務。

5. 下載文件並運行。往往用作傳遞新的遠程控制程序,進行直接控制。

6. 終止系統的進程和線程。

四、病毒頻繁的掃描內存進程,終止並禁止反病毒軟件的運行。

五、病毒可以建立壹個HTTP、FTP服務器,進行文件上傳、下載和運行操作。

六、病毒使用的字典如下,建議用戶壹定使用復雜的密碼。

1234567890

123456789

12345678

1234567

123456

12345

pass1234

passwd

password

password1

oracle

database

default

guest

wwwadmin

teacher

student

......