病毒别名： 处理时间：2007-04-27 威胁级别：★

中文名称： 病毒类型：黑客程序 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个使用漏洞传播的病毒,它能接受黑客的指令,使得中毒的计算机成为

"网络僵尸",并且病毒能盗取游戏的序列号.

1:复制本体

病毒体运行后,会把自己复制到系统目录下

%system%\\\\winamp.exe,并为该文件加上隐藏的属性

之后病毒体自删除.

2:添加启动项

病毒会在注册表中添加启动项,使自己能随系统运行

HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

"Winamp Agent" = "%system%\\\\winamp.exe"

3:传播自己

病毒会随机生成一个IP地址,用特制的数据包攻击此IP,

该IP包是使用了MS06-040(SRVSVC漏洞)和MS06-012(RPC-DCOM漏洞)

两个漏洞传播自己,一但攻击成功,该病毒就会把自己传播到远程机器上,

以下IP地址病毒不会攻击

192.168.x.x

172.x.x.x

127.x.x.x

病毒也会通过IPC$密码传播自己,病毒尝试登录密码如下:

winpass

blank

nokia

orainstall

sqlpassoainstall

db1234

databasepassword

databasepass

dbpassword

dbpass

domainpasssword

domainpass

hello

hell

love

money

slut

bitch

fuck

exchange

loginpass

login

win2000

winnt

winxp

win98

windows

oeminstall

accounting

accounts

letmein

outlook

mail

qwerty

temp123

temp

default

changeme

demo

test

2005

2004

2001

secret

payday

deadline

work

1234567890

123456789

12345678

1234567

123456

12345

1234

pass

pass1234

password

password1

4:接受黑客命令

病毒会连接IRC服务器,并接受黑客的指令:

NOTICE

NICK

JOIN

ERROR

RSION

SEND

PRIVMSG

MODE

PONG

PING

5:盗取序列号

病毒会盗取游戏"魔兽世界"和"Unreal3"的序列号.