猜测2k弱口令的IRC 蠕虫病毒公告创建时间:2003-03-10 文章属性:原创 文章来源:www.xfocus.org 文章提交:refdom (refdom_at_263.net) 3月10日,XFOCUS检测到一个能够猜测密码的IRC蠕虫,该蠕虫病毒通过对简单口令的猜测进行入侵,并且具有病毒更新能力。该蠕虫病毒能够连接到IRC服务器,并且通过一些脚本来实施扫描、感染,同时它也能够从IRC服务器端接受一些攻击指令。XFOCUS猜测,该脚本蠕虫主要是用来获得能感染的主机,并且可以利用这些主机来对其他IP执行拒绝服务攻击。XFOCUS已经对该蠕虫使用的IRC服务器进行了监视,发现了大量被感染的主机。 下面是XFOCUS对该蠕虫的详细分析。 异常文件列表,位于%windir%\system32目录下(因为该病毒可以更新,所以目前是下面的): hotteens.exe 病毒的安装文件 a.a 44 IRC初始文件 b.a 101 IRC初始文件 Deta.exe 19,968 用来隐藏程序窗口的工具 fControl.a 10,114 IRC脚本文件 IfControl.a 26,801 IRC脚本文件 incs.bat 1,854 批处理文件 Libparse.exe 25,600 命令行的进程管理工具 psexec.exe 37,376 远程进程执行的工具 rcfg.ini 2,424 IRC的配置文件 reader.w 105,374 用户列表文件 Sa.exe 51,200 Delphi编写,用来去某地址(暂时屏蔽)下载hotteens.exe(病毒自解压安装 文件)来运行。达到更新的目的。 scontrol.a 2,640 IRC脚本文件 sencs.bat 2,941 批处理文件 systrey.exe 562,688 IRC工具 病毒运作和感染机理: incs.bat用来对IP地址进行密码猜测,如果猜测到密码,则执行sencs.bat脚本。 sencs.bat脚本则运行psexec.exe来将文件sa.exe上传到目标主机,并执行它。 sa.exe程序到指定的网络地址下载病毒体hotteens.exe。 fControl.a和IfControl.a这两个文件都是IRC的脚本; IfControl.a读取文件reader.w并通过随机编码产生IRC的用户名,并以此进入IRC的频道#AlibabaKnights,该脚本能够接受IRC中的许多指令,并可以执行SYN FLOOD、ping拒绝服务攻击等,也可以接受扫描指令。 fControl.a则生成随机IP地址,并进行445端口的扫描,如果扫描得到端口,则调用incs.bat来进行感染。并且在注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 位置写入updateWins的键值。 建议解决办法: XFOCUS建议用户设置强壮的系统密码,并进行相应的安全加固配置。 建议用户在管理工具——本地安全策略——本地策略——安全选项中进行下面设置: 重设置管理员账号,将administrator账号名称设置为其他名称,禁止匿名用户连接和枚举账号,如果您的环境不需要进行共享远程连接,可以使用系统IPSec策略禁止445端口的通讯,或者在防火墙等边界设备上禁止445端口的通讯。 XFOCUS建议用户用下面办法来检查是否被病毒感染: 察看系统进程是否存在:systrey.exe,以确认是否被病毒感染,如果您的系统被感染,那么可以结束该进程,并在正确的目录下删除相应的蠕虫文件和注册表键值,然后重新启动系统。或者通过命令netstat –na,察看是否有很多同445端口的扫描,以及一个6667端口的连接。 XFOCUS会继续跟踪该蠕虫行为,并提供更多详细分析。 下面是该脚本蠕虫使用的密码表: admin (用户:admin) changeme root (用户:root) admin password pass temp123 "temp" "test123" "test" (用户:test) "" "Administrator" |
