- 积分
- 18119
- 威望
- 35103
- 元宝
- 4
- 铜钱
- 16613
  
|
1楼
发表于 2007-11-20 15:42
| 只看该作者
11.11-11.17流行病毒排行榜NO.1:Win32.Troj.Poebot.70754.E959B747
病毒大百科中有关该病毒的描述:http://vi.duba.net/virus/win32-troj-poebot-70754-e959b747-50021.html
9 W# l# A j9 N' J8 h病毒名:& P! C1 l+ R! E) l
Win32.Troj.Poebot.70754.E959B747- d* Y2 I: Q9 g
* P' u# t5 j( Z" g" ~% ~
威胁级别: ★★☆☆☆
0 Y: d; E+ D& ~5 E3 u病毒类型:木马程序5 r0 Q! n- Q# M4 Q3 U
病毒长度: 70754
: b- p, n, f# ]影响系统: WinNT Win2000 WinXP Win2003
9 y' @$ T) t( r% i& Q
" V/ e ^7 @" N病毒行为:
; T5 n& M' W/ s# Z该病毒运行后复制自身至系统文件夹,然后创建批处理删除自身,并通过伪装winamp播放器进程运行。病毒打开用户计算机后门,允许远程攻击者控制用户计算机,包括收集、下载、盗取用户信息,对用户的电脑系统及个人网络财产的安全构成严重威胁。同时该病毒会生成一个局域网IP地址,并利用系统漏洞及自身的密码字典,尝试破解弱密码,来进行恶意攻击和传播。
0 ^- k$ f, R+ U0 k' @' j
. K+ W6 \) u5 H" a G2 Z另外,该病毒还具有盗取网络游戏”魔兽世界“和”Unreal3“等CD-Keys的功能。% r* X+ \# W7 c% J
1.复制自身至
" G* K* R( [8 }8 J%system%\winamp.exe
. D' L( a0 S- c3 \( d* J; {" `6 a然后用批处理删除自身: Z9 Q8 | ^- q( |7 \: Y! S
2.启动项
- |/ H* C0 ]" F/ nHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunWinamp Agent "%sys32dir%\winamp.exe"
* C4 X& s* ?" K5 L' l3.盗取以下软件用户信息(帐号、密码、CD-Keys):
" F& v; ~3 @ i. h% J0 H, UFlashFXP
9 T4 O6 T% [& U% U0 iinternetexplorer
+ _& [% `9 y9 b7 @OutlookExpress- R! O( t8 h! U% C ~% a
MSN Explorer
8 e0 G# a7 H1 ~4 ^- q4 |UnrealIRCD
4 E& z I% C- P. d$ ~$ Y MSteam
* h1 T) S/ r5 ?World OfWarcraft
2 L/ @. B8 p9 K' H3 w" wConquer Online
- u" f& j; ^3 O! u: ?8 c& f! H4.复制自身至 IPC$ 共享:' m3 F/ B T }$ i( D- \5 `
IPC$
6 t3 Q7 z* H. D/ u2 ?print$
% v* {; G! |% D- CC$\Documentsand Settings\All Users\Documents\$ y/ y' s3 V5 H0 ^+ h$ J4 g% g4 \1 o# J
admin$
; @9 y; e' g: Q7 FAdmin$\system32
& _ P7 ~2 H& q# o6 R# @3 Xc$\windows\system32
/ J! p2 }4 ?. L) ^; s% }- _c$\winnt\system32$ N2 x, {' J* e) `7 c
c$\windows/ F* M1 ]; P/ |5 P- h
c$\winnt
3 K( U. A6 H$ K, u: O; b# B, le$\shared, h4 }; q' R3 _& K' j( B6 _/ Y3 T B
d$\shared7 ?9 b( ~8 i {" a( a: ^ b% G
c$\shared) p+ p) p& x$ e: u1 u. T% _
并利用以下弱密码攻击以获取权限:6 b: n0 D" n- q# @$ |
winpass
8 p5 C. T8 s" Q: @) O% Wblank6 x k; @# ~4 [5 D( X" P; H$ B
nokia
1 ]" k ?: J- Q) Gorainstall( l" a3 p. |; e' K; ^
sqlpassoainstall
m; f: w9 t* C( ^' a1 {' {9 i: Xdatabasepassword
( R7 P$ g, L3 o7 u0 _) ?6 |databasepass
" z+ W% ?' `6 A- idbpassword
& K3 i# O; ^: F9 W/ j4 E3 d ~- Fdbpass0 ~5 l; O# M& ] Z
domainpassword
! D: S+ c# ?! f6 k2 f( ^- O* O Q1 hdomainpass! [3 p# S3 y# j, A- Y3 R
hello% Z1 ^. m$ D M9 b- G0 m* O) s
hell
) r. x* q p3 w+ Qlove
% l) N+ i* {( u2 X: nmoney
T# `: S& @- A! _7 ~0 Wslut
: H# E! }* f4 c) ?$ Kbitch3 W1 o4 T4 [0 Y, V4 u
fuck. C6 P& M: L0 `
exchange7 a( ?% I6 i% A; r5 N4 l
loginpass. V2 @8 S& k! h4 @0 @3 @1 y
login
$ m9 P- ]( E/ S8 c8 Q5 J6 S4 jqwe
5 V1 ?6 S4 h. ~1 j! [ ^zxc _9 F5 M% j# ~" D# l, c- h7 q2 I
asd3 A9 x) J* w4 t/ I9 P
qaz
. G: k2 k1 X, Ywin2000 B$ i8 \- a6 V* @
winnt- |$ [2 R" N/ A& c, K3 T
winxp
8 ~, s0 H& T" W' r; {- @win2k
$ q0 C* k0 Q: d( h) gwin98; W+ D. Q; ] i1 `, E
windows9 `0 X& u h5 D2 _
oeminstall
) D3 J- o7 W1 Toem4 `, [5 O1 a4 }$ z- }
accounting; z& |* Y5 I2 P( S7 c, o
accounts
. ?, f+ c; i! b. H) Eletmein o" K3 O5 ?$ m' T4 o$ [+ S
sex
. w7 I8 F- e# r6 {outlook
2 d. V4 f2 m5 l" A6 g& R6 Vmail
/ f9 |; t$ o' w3 fqwerty% m" o6 y l" v _# A
temp123$ L! r8 y6 A- Q% {9 e% S/ h
temp% \& }) q& b9 P0 g# o
null
! q4 p8 G3 w! Q9 g$ x, `% P6 U& sdefault: q+ I" ]7 c5 @. S0 O( u
changeme* ]! H( J7 w7 E
demo/ g/ r! n; G- b2 M! H
test
& b3 `5 d0 i; N- Rsecret% d4 |* v9 J# m
payday
2 Q0 @+ C6 x) W" V1 s2 b0 Vdeadline
- Y+ D% v1 ?1 F/ ?3 A/ z# swork6 ]) j6 v9 e( f _
pwd0 P$ U. L! i3 }' m$ g$ {/ ^( J$ J
pass2 {5 M. W5 O6 N! Q
pass12341 g, ^) _: v# \9 J
dba7 ^1 D; n" a+ w0 L; Z3 o0 p. Z0 T/ k
passwd: ]1 s# {/ Y7 D# i0 B) S
password
% [7 ^# o8 X. V) k4 @1 ppassword1
, s5 y4 z9 z# K2 l6 W0 Y/ B. Q0 e% zabc
$ f3 A$ g; a7 b4 k/ S2 Q9 p% \staff
* i0 r- v, I7 r3 N: R7 fteacher
. C: r X* ~9 T9 Wowner
3 S4 E' x8 V. q0 a/ R6 jstudent& q8 L& I) Y9 `
intranet
7 ^( t5 L5 }- ilan6 n6 D3 y, T0 \+ g6 P$ O9 C
main: I+ |: X, N5 i* A( l5 g- g
office
2 L, m+ v( x, [3 E1 xcontrol
' W+ `! ? \: A7 m1 Msiemens7 B) U/ m. J6 K/ }$ W+ [, p! [
compaq$ l# c5 {- k! i1 s* D) s) `
dell
" F2 n. W3 b% scisco3 d- _7 h, { K9 h4 W
ibm. v( O5 \0 G3 Q0 a0 ^
oracle
' ^/ W3 v' n! x5 E$ xsql- p' [9 T4 k- i3 R% R* j3 v( F+ D
data
/ K/ Z: s; v3 `) g0 [3 K+ jaccess- x2 J1 m4 N8 ]) _3 Y t7 \! e+ m
database3 o9 c- |, _7 o
domain
5 Z/ J/ C" }- e: y7 kgod: K1 u8 z3 C5 u" V0 t
backup
0 h1 @$ i, u4 C6 N ?technical
1 E. p8 M1 w3 Qmary' y# L/ N6 A( H0 b5 ]
katie
' M2 \3 X4 r4 X% K& H9 dkate; S0 |/ }# b0 R& ]9 V+ ?
george2 M3 ]& z! @- W
eric0 R1 o2 j8 t3 }; D
none# @! [3 R G& d& R& M0 C0 P
guest
( H$ W/ u% P: e5 _chris" L! O! _" P5 I! B6 R
ian1 H. l* q1 Z. c9 H5 l
neil% B0 e5 P$ f, ^ z+ `& ^# I
lee
% {* \) j5 d/ F# p3 X! Ebrian
( O- W% ^/ w: W t0 z: ~" Bsusan
7 A/ D. \9 Y% D- W/ G! msue0 ~; |! G! W* P+ U* g) w5 }) u$ k
sam9 Y! ]4 t! k4 J( i
luke
4 z/ E' l% Q3 |' @peter: k5 n& N K0 r; r5 ^; s
john
! t/ m, B& B* R* Z# Pmike
9 l8 B6 \4 E5 u& R; f Gbill
0 N, T J7 q, ?4 {- kfred% F) d+ K/ J% {' A6 K' q, i
joe' A8 [9 K7 o* W4 ^
jen
& q! m: t7 }/ s/ ]bob
, O6 J/ Y& v3 ?+ M1 T+ q2 Ywwwadmin
1 O, L* D' n0 D7 w' @% {4 g) }oemuser/ D/ C5 V5 I2 F& K' U$ q: r
user
" S. \ U, o! x8 m5 V+ Rhomeuser
4 v4 B1 `: w1 N: ~home! B( q! i6 y" t6 |
internet& R: j" G8 f; J1 h, J# Q. ]
www
( J" ^) ?0 J/ ]$ j2 j U3 t: o6 R: Hweb
9 T5 Y* [8 `" E0 ^; H! troot
4 s# D( R2 [4 Tserver
+ l' }: O* c6 C$ i5 S& d! I8 llinux/ H9 \* [2 n- W+ z. ~; ^, \$ F: L6 A
unix; `5 q$ N; W- `+ b6 O2 ]
computer8 q5 A# c/ c4 M) O R1 E- g
adm
8 `& O, y2 r, R; E- U# ]! ]( fadmin
* x8 q f( A( A7 t+ nadmins
: N- d# H% \( N2 n: u1 M, o) Wadministrat1 c1 ?4 N( y( I6 ^8 E
administrateur! m# h% u( R( i; p1 q
administrador
0 ?/ P1 [% h5 X4 _administrator
& t; r6 k$ F, v7 y! d& u5.打开系统后门,允许远程攻击者控制用户计算机,包括: g* O: W2 \+ Z: p
收集系统信息" x# s) S) A4 n6 V1 B
扫描局域网机器并传播
9 {3 c* A( A+ ?/ N下载和运行指定程序
& \7 F$ l. x0 ~1 y* b+ ^运行http/ftp服务) R3 i. `$ Q4 s. g& j' S
升级病毒文件% ?- h9 C8 S3 \/ r
盗取软件密码( _1 n9 V7 P. e# d4 `, F
6.尝试利用以下漏洞,及自身的弱密码攻击网络共享和SQL服务器:
u! z) P7 C6 \+ o& R3 a5 o; PSMB(MS03-024)( v1 f+ V! R' W: P) @1 ^$ i
SRVSVC(MS06-040)& Y9 I* q" S: P& i3 h+ a6 A
RPC-DOM(MS06-012)1 L. T6 W6 \$ K. Q; p
* H% S" j, [. F3 K6 K" B
解决方案:
- ?) D" P2 S+ \9 e/ Q6 s该病毒集黑客工具、木马、后门、蠕虫病毒的行为于一体,中毒后,将对系统和局域网带来严重影响。发现此病毒入侵,应立即尝试修改系统管理员口令,避免使用弱密码。修改口令的方法见:新手必读系列的《杀毒需要了解的基本功》7楼。
" A3 l/ J; g3 K+ _9 _" q
/ m7 u/ S# l* T! g3 _* d/ E" \使用金山清理专家全面检测系统漏洞,并尝试修复。
; _1 @) x) K" P, y! d% x0 H/ U3 ~( Z) Q$ G8 e7 t4 c) V" S
该病毒的手工删除很简单,只需要删除这个文件%system%\winamp.exe,再用金山清理专家2.1,使用系统修复,把这一项目的引用修复即可。 |
提问请注意详细描述现象、操作过程,如果是病毒报告,应说明病毒名,染毒文件路径、文件名等,什么现象都不描述只发一个日志的帖子将被直接删除。
系统还原是中毒后恢复最节约成本的好工具,新手请不要随意禁止系统还原
请新会员关注新手杀毒教程 |
|
发表于 2007-11-21 17:27
| 
