Win32.Hack.Rahack.s

病毒别名： 处理时间：2007-04-06 威胁级别：★

中文名称： 病毒类型：黑客程序 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个后门程序，该病毒会添加服务，并且在局域网内进行弱密码攻击，尝试接收远程命令。

1.生成文件:

%System%\\urdvxc.exe

2.添加注册表:

HKLM\\SYSTEM\\CurrentControlSet\\Services\\MSWindows

HKCR\\CLSID\\[RANDOM_CLSID]

3.修改注册表项:

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

"MSWindows" = "%System%\\dmhelpserver.exe"

4.注入Explorer.exe

5.在HKCR\\CLSID中搜索以下的值:

browseui.dll

fm20.dll

mshtml.dll

ole32.dll

oleaut32.dll

sdocvw.dll

shell32.dll

thumbvw.dll

6.生成文件%System%\\[随机].dll并且替换上面搜到的任意一个值 。

7.感染脚本.

8.自带密码表:

00

000

0000

00000

000000

0000000

00000000

1

12

123

1234

12345

123456

1234567

2345678

123456789

Admin

abc123

access

adm

alpha

anon

anonymous

asdfgh

backdoor

backup

beta

bin

coffee

computer

crew

database

debug

default

demo

go

guest

hello

install

internet

login

mail

manager

money

monitor

network

new

newpass

nick

nobody

nopass

oracle

pass

passwd

password

poiuytre

private

public

qwerty

random

real

remote

root

ruler

secret

secure

security

server

setup

shadow

shit

sql

super

sys

system

telnet

temp

test

test1

test2

visitor

windows

X

9.尝试接收远程命令.