概述

病毒行为

概述

Worm.Lying.aa

病毒别名： 处理时间：2007-03-08 威胁级别：★

中文名称： 病毒类型：蠕虫 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为

这是一个感染型的蠕虫,它能感染用户系统内的可执行文件与网页文件,

并尝试通过密码表登录局域网内其它机器进行传播.

1:拷贝文件

病毒运行后,会把自己拷贝到%system%\\\\tmqptm.exe下

并释放一个文件到%system%\\\\tmqptm.dll, 该DLL也是病毒

病毒名为Worm.Lying.aa.249856

之后自删除

2:注入进程

病毒会把tmqptm.dll注入到以下3个进程空间中运行

Explorer.exe

services.exe

Winlogon.exe

3:关闭进程

病毒会关闭以下进程:

Logo1_.exe

Logo_1.exe

Rundl132.exe

FuckJacks.exe

spoclsv.exe

nvscv32.exe

svch0st.exe

c0nime.exe

iexpl0re.exe

4:感染文件

病毒会感染以下扩展名的文件:

HTM

HTML

ASP

ASPX

ASA

CDX

CER

PHP

JSP

INC

BAT

COM

PIF

SCR

EXE

被感染后的脚本文件加入一行:

可能会与熊猫烧香病毒那样造成大量互联网用户感染病毒.

5:弱密码登录感染

病毒会通过密码表深度登录其它

机器上面进行感染

用户名:

admin

administrator

密码表:

password

root

no Password

12

123

1234

12345

123456

1234567

12345678

123456789

123321

654321

54321

4321

321

111

1111

121212

123123

1234qwer

123abc

000000

00000000

11111111

88888888

88888

pass

jpasswd

database

abc

abc123

oracle

sybase

123qwe

server

computer

internet

super

123asd

ihavenopass

godblessyou

enable

xp

2004

2005

2006

2007

2008

110

120

test123

admin123

pwd

qq

wangba

user

users

abcd123

asdf

asdf123

windows

windows2000

windowsxp

windows2003

window

love

iloveyou

loveyou

test

temp

hao123

adsl

kaonima

happy

login

home

mylove

guest

data

date

mypass

mypass123

sex

god

fuck

cctv

sa

live

qwer

zxcv

xxx

fuckyou

999999

foobar

china

japan

temp123

yxcv

guset123

guset321

520

5201314

5021314

ghost

2k

goodbye

bye

520520

2000

6:打开网页

病毒寻找IE窗口,若无发现,就新建一个IE进程

并在后台打开http://www.******.info/logo.gif