Win32.NerdBot Family电脑蠕虫病毒
Win32.NerdBot Family蠕虫病毒别称:
Win32/Agobot.NAE (Eset), Donk.B (Norman), WORM_DONK.B (Trend), W32.Donk.Q (Symantec), W32.Donk.S (Symantec), W32/Donk-D (Sophos), W32.HLLW.Donk.B (Symantec), W32.HLLW.Donk.C (Symantec), Win32/Lioten.68099!Worm, Win32/NerdBot.97795.Worm, Win32.NerdBot.A, Win32.NerdBot.B, Win32.NerdBot.C, Win32.NerdBot.D, Win32.NerdBot.E, Win32/NerdBot.E.Worm, Win32.NerdBot.F, WORM_RBOT.VL (Trend), Backdoor/SdBot, Win32/Sdbot.76870.Trojan, WORM_SDBOT.CAF (Trend), IRC/SdBot.DF (Eset), Backdoor.SdBot.gen (wordstyle'>McAfee), WORM_SDBOT.KW (Trend), W32/Sdbot.LB (F-Secure), W32/Sdbot.worm.gen (wordstyle'>McAfee), W32/Sdbot.worm.gen.h (wordstyle'>McAfee), W32/Sdbot.worm.gen.j (wordstyle'>McAfee), W32/Sdbot-CAF (Sophos), W32/Sdbot-IK (Sophos), W32/Spybot.LL (F-Secure), W32.Spybot.Worm (Symantec), Worm.Win32.Donk.a (Kaspersky), Worm.Win32.Donk.b (Kaspersky), Backdoor/Windrone 6.3.Server
Win32.NerdBot Family蠕虫病毒特性:
win32.Nerdbot是一族通过网络共享传播的IRC控制的蠕虫,同时会利用系统漏洞进行传播。他们在被感染机器上执行很多恶意的任务,包括终止大量的进程以及修改Hosts文件。Nerdbot的变体通常被压缩和/或加密,以一个或者更多运行时间运行压缩包。例如包含UPX,yoda's cryptor, WinKript 和 PEShield。
感染方式:
运行时,Win32.Nerdbot会复制到%System%目录。收到的Nerdbot变体样本一般使用以下文件名:
§ cool.exe
§ wnetmgr.exe
§ wnetlib.exe
§ ntsysman.exe
§ libsysmgr.exe
一些变体会复制2次到%System%目录,使用以上文件名。
为了在每次windows启动时自动运行病毒,Nerdbot一般会设置以下wordstyle'>注册表键值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft System Checkup = '%System%\'
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Microsoft System Checkup = '%System%\'
这里的是蠕虫复制的文件。
Nerdbot也会设置以下键值,以便在每次系统启动时运行'%System%\syslog32.exe'文件:
HKLM\software\Microsoft\Windows\CurrentVersion\Run\NT Logging Service = '%System%\syslog32.exe'
但是,蠕虫不会创造这个文件,因此修改以上键值将不会有影响。
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
Win32.NerdBot Family传播方式:
通过网络共享传播
Nerdbot可以通过简单的口令进入远程网络共享进行传播。它尝试将自己复制到发现的远程机器的以下目录:
\Documents and Settings\All Users\Start Menu\Programs\StartUp
\WINDOWS\Start Menu\Programs\Startup
\WINNT\Profiles\All users\Start Menu\Programs\Startup
Nerdbot尝试猜测用户名和口令进入这些远程网络共享。以下是Nerdbot可能尝试的用户名:
Administrateur
Administrator
Default
Guest
Root
SST
User
Verwalter
admin
administrator
database
e
home
sql
以下是Nerdbot可能尝试使用的密码:
007
101
111
1111
123
1234
12345
123456
1234567
12345678
123456789
123abc
123asd
123qwe
2002
2003
54321
557
654321
6969
7777
Admin
Internet
Login
Password
aaa
abc
abc123
abcd
admin123
alpha
asd#321
asdf
computer
enable
god
letmein
login
love
mypass
mypc
oracle
owner
pass
passwd
password
pw123
pwd
qwer
qwerty
root
secret
server
sex
super
sybase
temp
temp123
test
test123
win
xxx
yxcv
zxcv
如果成功,它会在远程机器上安排一个远程任务来运行蠕虫的副本。
Nerdbot也会扫描机器的139端口来感染网络共享。
通过漏洞传播 http://www.t03.cn 手机之家
Win32.Nerdbot也会利用Windows系统漏洞及第三方应用软件漏洞进行传播。如果它能够攻击成功其中一个漏洞,就可以在目标机器上运行一个很小的代码作为一个连接源,用来找到完整的蠕虫运行程序。
以下是Nerdbot可能攻击的漏洞:
1、Microsoft Windows RPCSS DCOM信息缓冲器漏洞(端口:TCP135)
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
2、Microsoft Windows LSASS缓冲器溢出漏洞(端口:TCP445)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
3、Microsoft Windows ntdll.dll缓冲器溢出漏洞(WebDav漏洞)(端口:TCP80)
http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx
4、DameWare Mini远程控制缓冲器溢出(端口:TCP6129)
http://www.dameware.com/support/security/bulletin.asp?ID=SB2
5、Microsoft Universal Plug and Play (UPnP) NOTIFY指示缓冲器溢出和wordstyle'>DoS攻击(端口:TCP5000)
http://www.microsoft.com/technet/security/bulletin/ms01-059.mspx
相关 病毒 蠕虫 电脑 Nerdbot 文件 Windows 以下 传播 漏洞 的文章
- 推荐内容
- ·免费在线收看一千多路电视节目
- ·免费网络电话SkyPe 全球知名
