- 最后登录
- 2012-2-9
- 在线时间
- 5196 小时
- 注册时间
- 2002-1-15
- 阅读权限
- 255
- 帖子
- 17760
- 精华
- 41
- UID
- 1437137
 
- 铜钱
- 16047
- 元宝
- 400
- 威望
- 43888
- 积分
- 22856
|
发表于 2007-11-20 15:42:06
|显示全部楼层
病毒大百科中有关该病毒的描述:http://vi.duba.net/virus/win32-troj-poebot-70754-e959b747-50021.html8 j- Z4 S( v& a: \8 j
病毒名:: ?3 z$ M! g# f" y
Win32.Troj.Poebot.70754.E959B7474 v. r( p2 N- r0 ~- _
! g1 k" O R3 H8 y威胁级别: ★★☆☆☆
- [& H( S0 i9 z3 s* u8 R" @9 |病毒类型:木马程序" k2 s# F) {; B, p S3 v9 E: b( S
病毒长度: 70754
' P& l. y3 P+ x- Y9 f影响系统: WinNT Win2000 WinXP Win2003
+ y5 K6 ?. O7 @; ]. Y1 Y2 x " K. V/ y7 H! R9 d- r
病毒行为:2 p. D5 F( t. P. Y5 D
该病毒运行后复制自身至系统文件夹,然后创建批处理删除自身,并通过伪装winamp播放器进程运行。病毒打开用户计算机后门,允许远程攻击者控制用户计算机,包括收集、下载、盗取用户信息,对用户的电脑系统及个人网络财产的安全构成严重威胁。同时该病毒会生成一个局域网IP地址,并利用系统漏洞及自身的密码字典,尝试破解弱密码,来进行恶意攻击和传播。
j+ H( s+ \2 I( b! s$ n
6 |0 |4 j; [: B另外,该病毒还具有盗取网络游戏”魔兽世界“和”Unreal3“等CD-Keys的功能。
0 U/ g5 |5 z, W8 v7 I1.复制自身至- g$ d( _ \. @; N# S
%system%\winamp.exe
1 f' M; N F, l8 j* l& q4 X然后用批处理删除自身
6 U8 @8 T8 w/ f3 R2.启动项
) P. A& W- b' j5 h" AHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunWinamp Agent "%sys32dir%\winamp.exe"4 r+ Y4 H1 S' w3 D! O7 b
3.盗取以下软件用户信息(帐号、密码、CD-Keys):; ?/ x2 p. E7 v/ J" t; M
FlashFXP1 M( V/ _; t5 o( l; i0 l% i
internetexplorer
, F+ t& I6 H+ |9 ]5 nOutlookExpress! f! P# o8 L4 [$ d5 n" q# H
MSN Explorer5 W8 S' G. S, P8 H4 ?/ H8 p7 s4 W
UnrealIRCD
* e9 F% O* P8 L& H$ gSteam. [* @! o7 ?: T
World OfWarcraft
0 }* U$ O2 k* Y$ a* Q: sConquer Online
1 { \& C) O D' y4.复制自身至 IPC$ 共享:
: o4 W+ D, p. EIPC$
. d0 j$ ]. U1 kprint$% z- M! r' U: T: t' Y
C$\Documentsand Settings\All Users\Documents\$
; w$ e: c# X1 {, W1 C( B8 l* qadmin$0 C( W: \; @' Q' a' }7 {' _
Admin$\system32
$ M1 n- V7 m. q! @, x! Vc$\windows\system32
: W& z" i" a6 X, @$ [c$\winnt\system32
- a- D+ \& p& T- l) i) ~ P7 R( |) G5 Gc$\windows
9 N, H0 I+ q; F1 e2 c6 N: Sc$\winnt
" a( Q' V( R, @' U2 R3 t3 W1 Ne$\shared
7 A0 R8 Y/ g& E. F( k4 W- _d$\shared- X l- A, [8 i( X& X8 q
c$\shared1 ^* ^7 _: x' d( M- c2 v$ p: z
并利用以下弱密码攻击以获取权限:
3 d; } _3 p1 K; P" G$ @. b+ i4 owinpass
7 U7 f3 T# {( J/ T7 ?) nblank
2 m8 U0 g0 K1 C- X* e# knokia3 ~9 t7 ~# v ], V3 R
orainstall$ d _% U! R/ B7 k
sqlpassoainstall* e) f6 y* w3 T, O7 e
databasepassword4 P, W8 f! ?; e4 Q7 m
databasepass) Y) o' b8 a0 L) b3 Z# |
dbpassword# Q% }! |/ K( H [, B
dbpass' ~% P7 c* L1 X4 U
domainpassword* s Z: l2 f# i; K
domainpass0 q( g5 u9 U/ D' n5 L$ z3 ]6 n
hello0 H8 X" C% r, P. V! R
hell
6 \# V( y7 N$ H) P5 @) jlove& ?3 d! B# L; |% B n
money
9 v9 H' c8 d W6 Cslut7 I _, w# V! K% K1 j! o, I
bitch# Y& g# S5 k0 s1 o( b, r8 [
fuck: W+ u, z% c! d0 V8 l% [7 A
exchange5 `" w% J+ ]# @1 E6 J- g! m
loginpass- x7 H5 O! ?- H5 i! i$ ]0 S" {/ k, ^
login5 _& r7 T% ?6 V7 P& }! h; A7 d6 O
qwe; K$ Q! ~- F/ u; f. ~ }
zxc/ S4 J7 B3 e, O6 j1 f+ d( |
asd
, N' K6 d* f0 g# h8 U6 B% I* k% lqaz
$ x4 G3 f( s% ?- |win2000
# E2 D6 y0 p; R, Z, twinnt2 {0 ~7 h! A4 g0 r; L
winxp0 v( R+ ^, e4 T' z% [
win2k
+ O i1 m6 R- v/ kwin98 y) G$ I. Y$ S5 ?# n
windows( v! R' ]3 Y* {4 w! h7 c
oeminstall
7 |: f" \: x/ t/ ?. m1 W4 koem
8 @# r9 H, `3 [/ a2 Qaccounting2 V8 {/ h2 h- Z% e8 r
accounts
0 i/ l+ f9 h5 ^" Yletmein
* m$ L3 q; F( k3 j& T( csex" A4 o; }$ h1 S. \# w/ r2 U( z
outlook7 A* n& e9 H* }" V9 y
mail2 |. z8 c* H$ L5 W- H7 i7 _' t
qwerty# `5 u' O) ^% I7 J; M7 l
temp1239 v ~5 S9 K! Q5 v
temp) {! u G8 x. _$ S+ |* s
null
. v8 y. X- P8 k" C+ M8 B0 }default
& E$ F& F2 X" z# `+ g' C9 tchangeme4 C4 F, V& ^2 ]+ I
demo+ L' N& `) p% |; h2 \8 \
test
: M4 M0 ?" Y$ ksecret
# F* B8 c0 E b& F* Epayday2 N0 I; }5 D1 A2 z, F2 y. |
deadline
, N; l6 M$ R+ z B/ F% kwork9 [& z/ R( b8 @! e* H8 y. d
pwd
% i8 o- y) [( v( Apass) k* h! x$ k" G' O
pass12342 p" r$ \9 w3 U& P0 \
dba2 U, x. K$ I: Z/ r2 Z, H1 h
passwd
; \$ e. K. X1 c; v4 k, v" ]password8 D" j' o. [2 p, G1 d
password1
2 r! ^) H- A, {1 nabc9 A, i4 \' u2 M( U+ Q1 M
staff' [! B% V$ @ U: i2 A8 [: T
teacher/ A& y6 d, v2 y) S0 K7 Q4 R, S
owner
9 H* e v! p6 \ M, Sstudent
; [, F# |' ^3 H- d" ?& d/ e/ T4 w5 } gintranet& a0 J( d# i \7 w- `( B5 n9 m; A' d2 K
lan
+ [" ~3 R# n% @4 J* z& W V9 e: gmain' Q, _/ t* z5 G! H [: d% R) r( G
office" S0 u) y/ a5 `! i# \' x
control) g% L6 T% s3 M$ m: x& j5 M2 c
siemens s( d7 Y3 v7 K" z9 f' P
compaq$ j! M( }. w# O Y# {) O
dell
7 a; m* C! [$ ncisco
$ _" l, }8 G) a$ B# Nibm
, F+ B8 s$ ^$ q) [3 Noracle
; b7 A' M5 I5 ?9 rsql
9 {' \1 g' O; D& T9 b$ K* ldata
3 h: S* [% W% b0 g" q) w9 i) Daccess" t: }, s1 i# t2 H! m
database
4 L/ \+ u8 ?; ?domain
2 j: {" z. \& ^6 i: v' O( a1 sgod! m7 U# M3 J1 o/ v8 x; T
backup( i% Z' z U7 W9 |8 q1 M8 f
technical- i) \* H& }! H* I# \8 q9 H
mary
2 P) } H) G; V; mkatie3 L9 s) I: J! b6 r5 w5 k+ s& g
kate7 N, J* ]2 T& r8 d F0 p' F2 F! R
george% x$ f/ W S' e+ Y( D
eric7 C! b! f4 F' _6 Z' N% w
none
* T$ B/ m! l" }) wguest& ^7 V" v6 `5 g* u
chris4 @& o+ l* H, u5 Y; v. K
ian, [0 h: c# H8 X( T* P, `
neil3 z# b. y; \ E, H, Z7 G7 U
lee
' I+ c+ @4 `, s3 f, ebrian
/ |( S+ ^6 A# o/ o Q/ r& q4 E' Ususan$ A' j$ V8 h! v
sue
}2 I, k- `$ h# Ssam( {9 d' h4 g7 ]0 q, ~
luke
9 Z! n- h+ Q2 u/ F, ~5 k1 [' M" Mpeter
* D ~6 I4 x* u3 mjohn
& G I7 @% ?/ Q* Ymike3 X# R6 M, \1 w& e+ q
bill! x# |# ?5 S8 a8 Z( G8 K) ~! f6 d
fred$ N: [9 h: a8 k a, ^/ Z
joe) T/ k- ~4 v& J* j4 d: m7 V& L
jen* e! F0 \; d& b5 M/ W
bob
1 l. j% [# g5 [* B; B' f+ q2 H# `wwwadmin
l! v: T4 u$ qoemuser& z3 T/ h4 x3 z
user
( f& ?* q* d% e' u$ k3 Nhomeuser
4 w& U& @! [+ V' ?4 khome6 P0 m( Q0 x0 s0 q# D
internet
0 m3 T; J; Q1 Nwww
, f) j8 w/ d/ o, I$ tweb
) V' O! J5 q! d8 h" h6 ?+ @$ ]root" k. t3 M; R/ R$ I9 k4 |
server
8 t) f" N3 |# [8 u3 S& M; plinux# t$ K% D4 B. u$ j' ^
unix- [* a+ u F0 q$ ^( m" E/ N! ^
computer
' v( l1 @# J, N, i. n" c( Madm
0 }; `5 B; ~5 x; A9 N$ P; nadmin2 `+ N. }# Y/ X! U& P8 V& s
admins2 a8 F2 P$ I1 E: \' I/ _
administrat
8 A8 e5 D' ]& Y! f* `administrateur% ^- }! B1 D6 m! w: C7 [; Y
administrador4 n, s, x' `' }5 p% s/ v
administrator5 i3 V, Q% S9 u9 D
5.打开系统后门,允许远程攻击者控制用户计算机,包括:+ Z7 K8 @8 {. d3 j' n$ k8 c
收集系统信息
% W3 P! J: Z( b8 f扫描局域网机器并传播( a' P/ B7 R$ n/ |/ w
下载和运行指定程序
% t9 `& N' ~8 @* x( L运行http/ftp服务5 p3 X" D0 m+ b$ G7 ^2 k8 v
升级病毒文件5 b7 o& b8 F4 W) q% g1 V
盗取软件密码1 W0 _/ a2 Z2 K& w
6.尝试利用以下漏洞,及自身的弱密码攻击网络共享和SQL服务器:# e- V+ W: x% T4 O7 j$ T
SMB(MS03-024)
, [4 Z' y- `+ X' x o3 RSRVSVC(MS06-040)6 {' T+ i7 S; v9 E9 N5 \0 g7 L
RPC-DOM(MS06-012)* ]$ {: }3 F* v0 b6 J% I6 I" ?
9 S; N, T+ K# D2 M解决方案:
% M' D$ _) Q* H; U5 p该病毒集黑客工具、木马、后门、蠕虫病毒的行为于一体,中毒后,将对系统和局域网带来严重影响。发现此病毒入侵,应立即尝试修改系统管理员口令,避免使用弱密码。修改口令的方法见:新手必读系列的《杀毒需要了解的基本功》7楼。. J; [$ s6 x+ s; m$ }4 ]
# F7 V B: ]5 }) S! v2 {使用金山清理专家全面检测系统漏洞,并尝试修复。2 f0 a! o* |) D0 `" M) z- |
2 ?3 }* F! T7 B, ]0 x& `9 k) ]
该病毒的手工删除很简单,只需要删除这个文件%system%\winamp.exe,再用金山清理专家2.1,使用系统修复,把这一项目的引用修复即可。 |
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2007-11-20 16:12:30
