感染症状及介绍

Win32/IRCBot.worm.228037 是 Win32/Mytob.worm蠕虫的变种之一. 该蠕虫试图利用Windows系统漏洞来传播. 运行该蠕虫后会在Windows系统目录下生成msnrngr.exe (228,037 bytes)和SVKP.sys (2,368 bytes)文件，并修改注册表当系统启动时自动运行. 试图连接特定IRC服务器. 连接成功后，以管理者(Operator)的身份执行恶意控制.

技术分析

* 扩散程度

收集病毒信息的安博士公司已在 2005年 10月 13日 9：21分(GMT+9 标准) 从客户收到一件感染报告.

* 传播路径

[系统漏洞]

该蠕虫是与 Win32/IRCBot.worm 的变种一样，是通过Windows漏洞来传播.

MS03-039 RPC DCOM2 漏洞

英文 - http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx

韩文 - http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp

MS04-011 Microsoft Windows安全升级中存在的 LSASS 漏洞

英文 - http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx

韩文 - http://www.microsoft.com/korea/technet/security/bulletin/ms04-011.asp

[简单的用户密码]

Windows NT 系列(Windows NT, 2000, XP)的管理目的密码较简单时连接到此系统后运行蠕虫. 代入简单密码列表如下.

intranet

winpass

blank

office

control

nokia

siemens

compaq

cisco

orainstall

sqlpassoainstall

db1234

databasepassword

databasepass

dbpassword

dbpass

access

domainpassword

domainpass

domain

hello

bitch

exchange

backup

technical

loginpass

login

katie

george

chris

brian

susan

peter

win2000

winnt

winxp

win2k

win98

windows

oeminstall

oemuser

homeuser

accounting

accounts

internet

outlook

qwerty

server

system

changeme

linux

1234567890

123456789

12345678

1234567

123456

12345

pass1234

passwd

password

password1

oracle

database

default

guest

wwwadmin

teacher

student

owner

computer

staff

admins

administrat

administrateur

administrador

administrator

* 运行后症状

[生成文件]

在Windows系统目录下生成以下文件.

- msnrngr.exe (228,037 bytes)

- SVKP.sys (2,368 bytes)

注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me C:\\Windows\\System, windows NT/2000, C:\\WinNT\\System32, windows XP是C:\\Windows\\System32 文件夹.

[修改注册表]

修改注册表当系统启动时自动运行.

HKEY_LOCAL_MACHINE\\

Software\\

Microsoft\\

Windows\\

CurrentVersion\\

Run\\

的 "MSN Messenger"="msnrngr.exe"

HKEY_LOCAL_MACHINE\\

Software\\

Microsoft\\

Windows\\

CurrentVersion\\

RunServices\\

的 "MSN Messenger"="msnrngr.exe"

HKEY_CURRENT_USER\\

Software\\

Microsoft\\

Windows\\

CurrentVersion\\

Run

的 "MSN Messenger"="msnrngr.exe"

[修改服务]

修改注册表当系统启动时自动运行.

HKEY_LOCAL_MACHINE\\

SYSTEM\\

CurrentControlSet\\

Services\\

SVKP

"ImagePath"=“C:\\WINNT\\system32\\SVKP.sys “

[生成互斥]

生成以下互斥(Mutex)来防止重复运行.

- fuXion

[结束进程]

强行关闭以下运行中的进程.

i11r54n4.exe

irun4.exe

d3dupdate.exe

rate.exe

ssate.exe

winsys.exe

winupd.exe

SysMonXP.exe

bbeagle.exe

Penis32.exe

teekids.exe

MSBLAST.exe

mscvb32.exe

sysinfo.exe

PandaAVEngine.exe

wincfg32.exetaskmon.exe

zonealarm.exe

navapw32.exe

navw32.exe

zapro.exe

msblast.exe

netstat.exe

msconfig.exe

regedit.exe

[打开端口]

感染的系统会打开如下端口并处于等待状态(LISTENING).

- TCP 任意端口

从外部利用该端口可以执行远程控制. 带着恶意心理的人连接他人电脑时会执行(运行程序, 删除资料等) 或者盗取个人信息，各种文件，机密文件.

* 恶性 IRC bot 功能

试图连接特定 IRC(Internet Relay Chat: 利用因特网的一种聊天服务)服务器和聊天室.

连接成功后，以管理者(Operator)的身份执行恶意控制.

一般可运行的恶性功能如下.但IRC 服务器管理者封闭该聊天室时，该恶性功能不会运行.

- 运行文件并删除

- 下载文件并装入

- 泄露系统信息及网络信息

- 记录用户输入的内容(泄露用户的密码)

- 对特定 IP进行攻击 (因增加网络流量会崩溃)

- 泄露特定游戏 CD 密码

- 发送大量邮件(间谍邮件)

[IRC 服务列表]

试图连接的地址如下.

6*.1**.1*8.3* #**n*o# e**x*R

注) 一些地址由 * 来替代.

解决方案

* 使用V3Pro 2002 Deluxe / V3 VirusBlock 2005 / V3Net for Windows Server的用户

1. 产品运行后， 通过[升级]按钮或升级文件， 升级最新引擎及补丁文件.

2. 首先指定要检查的驱动器，然后进行检查.

3. 在进程中诊断为恶性代码时， 选择提示窗口中的‘强制推出后进行治疗’

恶性代码退出后，会自动进行治疗（删除）.

4. 进程检查和指定的驱动器检查结束后，会弹出一个治疗窗口.

在这里点击'治疗所有目录'按钮后，治疗（删除）被诊断的恶性代码.

5. 添加及更改过的注册表值会自动修改.

* MyV3 用户

1. 连接到MyV3 网站(http://auth70.ahn.com.cn/shopping/myv3.jsp 等)后运行. 如没有安

装MyV3活动 X 控制键， 在'安全警告'窗口点击'YES'后安装即可.

2. 把MyV3升级为最新版本.

3. 首先指定要检查的驱动器， 然后点击[开始检查]按钮后开始检查.

4. 在进程中诊断恶性代码时， 选择提示窗口中的'强制结束后治疗'. 从而关闭的恶性代码会自动被治疗（删除）.

5. 进程检查和指定驱动器的检查结束后弹出一个治疗窗口.

在这里点击'治疗所有标题'按钮后， 对诊断的恶性代码开始进行治疗(删除).

6. 添加及更改的注册表值会自动修改.