xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加文章 English Version

猜测2k弱口令的IRC 蠕虫病毒公告


创建时间:2003-03-10
文章属性:原创
文章来源:www.xfocus.org
文章提交:refdom (refdom_at_263.net)

3月10日,XFOCUS检测到一个能够猜测密码的IRC蠕虫,该蠕虫病毒通过对简单口令的猜测进行入侵,并且具有病毒更新能力。该蠕虫病毒能够连接到IRC服务器,并且通过一些脚本来实施扫描、感染,同时它也能够从IRC服务器端接受一些攻击指令。XFOCUS猜测,该脚本蠕虫主要是用来获得能感染的主机,并且可以利用这些主机来对其他IP执行拒绝服务攻击。XFOCUS已经对该蠕虫使用的IRC服务器进行了监视,发现了大量被感染的主机。

下面是XFOCUS对该蠕虫的详细分析。

异常文件列表,位于%windir%\system32目录下(因为该病毒可以更新,所以目前是下面的):

hotteens.exe    病毒的安装文件

a.a    44             IRC初始文件
b.a    101            IRC初始文件
Deta.exe    19,968     用来隐藏程序窗口的工具
fControl.a    10,114    IRC脚本文件
IfControl.a    26,801   IRC脚本文件
incs.bat    1,854       批处理文件
Libparse.exe  25,600    命令行的进程管理工具
psexec.exe    37,376    远程进程执行的工具
rcfg.ini    2,424        IRC的配置文件
reader.w    105,374     用户列表文件
Sa.exe   51,200        Delphi编写,用来去某地址(暂时屏蔽)下载hotteens.exe(病毒自解压安装

文件)来运行。达到更新的目的。
scontrol.a    2,640      IRC脚本文件
sencs.bat     2,941      批处理文件
systrey.exe   562,688    IRC工具

病毒运作和感染机理:

incs.bat用来对IP地址进行密码猜测,如果猜测到密码,则执行sencs.bat脚本。

sencs.bat脚本则运行psexec.exe来将文件sa.exe上传到目标主机,并执行它。

sa.exe程序到指定的网络地址下载病毒体hotteens.exe。

fControl.a和IfControl.a这两个文件都是IRC的脚本;

IfControl.a读取文件reader.w并通过随机编码产生IRC的用户名,并以此进入IRC的频道#AlibabaKnights,该脚本能够接受IRC中的许多指令,并可以执行SYN FLOOD、ping拒绝服务攻击等,也可以接受扫描指令。

fControl.a则生成随机IP地址,并进行445端口的扫描,如果扫描得到端口,则调用incs.bat来进行感染。并且在注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 位置写入updateWins的键值。

建议解决办法:

    XFOCUS建议用户设置强壮的系统密码,并进行相应的安全加固配置。

    建议用户在管理工具——本地安全策略——本地策略——安全选项中进行下面设置:
    重设置管理员账号,将administrator账号名称设置为其他名称,禁止匿名用户连接和枚举账号,如果您的环境不需要进行共享远程连接,可以使用系统IPSec策略禁止445端口的通讯,或者在防火墙等边界设备上禁止445端口的通讯。

    XFOCUS建议用户用下面办法来检查是否被病毒感染:
察看系统进程是否存在:systrey.exe,以确认是否被病毒感染,如果您的系统被感染,那么可以结束该进程,并在正确的目录下删除相应的蠕虫文件和注册表键值,然后重新启动系统。或者通过命令netstat –na,察看是否有很多同445端口的扫描,以及一个6667端口的连接。

    XFOCUS会继续跟踪该蠕虫行为,并提供更多详细分析。


下面是该脚本蠕虫使用的密码表:

admin     (用户:admin)
changeme
root      (用户:root)
admin
password
pass
temp123
"temp"
"test123"
"test"     (用户:test)
""
"Administrator"