16.26.40版新增102个可查杀病毒,主要包括: WINDOWS下的PE病毒(90);脚本病毒(8);普通文件病毒(4);
WINDOWS下的PE病毒(90)
1.Worm.Cissi.c
破坏方法:该病毒是一个通过邮件和ipc弱口令猜测传播的蠕虫,采用Delphi编写,upx压缩
一旦运行,病毒将复制到下列目录:
%SYSDIR%\Cissi.exe
病毒还可能复制到下列目录:
\Documents and Settings\All Users\Start Menu\Programs\Startup
\WINDOWS\Start Menu\Programs\Startup
\WINNT\Profiles\All Users\Start Menu\Programs\Startup
如果操作系统是 Windows 95/98/Me,该病毒将修改文件: System.ini 来自启动
如果操作系统是 Windows NT/2000/XP/2003, 病毒虽然修改文件:System.ini,但不会自启动。
后门:
该病毒是一种IRC bot,它将连接IRC服务器:irc.undernet.org,以某个昵称登录一个IRC频道:
#TCow cow,一旦连接成功,病毒将等待来自服务器的命令。
网络传播:
病毒将进行IPC弱口令猜测,可能的用户名密码组合为:
用户名:
"Guest"
"Administrator"
"Owner"
"Root"
密码:
"1234"
"password"
"6969"
"harley"
"123456"
"golf"
"pussy"
"mustang"
"1111"
"shadow"
"1313"
"fish"
"5150"
"7777"
"qwerty"
"baseball"
"2112"
"letmein"
"12345678"
"12345"
"ccc"
"admin"
"Admin"
"Password"
"1"
"12"
"123"
"1234567"
"123456789"
"654321"
"54321"
"111"
"000000"
"abc"
"pw"
"11111111"
"88888888"
"pass"
"passwd"
"database"
"abcd"
"abc123"
"pass"
"sybase"
"123qwe"
"server"
"computer"
"Internet"
"super"
"123asd"
"0"
"ihavenopass"
"godblessyou"
"enable"
"xp"
"2002"
"2003"
"2600"
"alpha"
"110"
"111111"
"121212"
"123123"
"1234qwer"
"123abc"
"007"
"a"
"aaa"
"patrick"
"pat"
"administrator"
"root"
"sex"
"god"
"foobar"
"secret"
"abc"
"test"
"test123"
"temp"
"temp123"
"win"
"pc"
"asdf"
"oracle'pwd"
"qwer"
"yxcv"
"zxcv"
"home"
"xxx"
"owner"
"login"
"Login"
"pw123"
"love"
"mypc"
"mypc123"
"admin123"
"mypass"
"mypass123"
"901100"
一旦成功,病毒将自动复制到该系统并使用计划工作来远程启动病毒
同时该病毒还会在有写权限的网络映射驱动器上复制病毒体。
该病毒还会通过邮件传播:
发送邮件时包含如下特征:
From: Cissi
主题<下列之一>:
"Heres a poem for you"
"Ive written a poem for you"
"Love poems for you :)"
"Look what i wrote for you"
"Poems for you"
"Roses are red,
You are mine,
I love you until im dead,
It will all be fine."
"I do miss you
I do love you
what you want me to do?
I never want to go."
"Where did you run?
Where did you hide?
I stand here undone
I stand here inside"
"How could u do that
Why did you say that
How do you feel inside
I wish i just could hide"
附件名为<下列之一>:
"LovePoem.pif"
"Poem_collection.pif"
"Zipped_poems.exe"
"My Poems.txt.exe"
"Poems.pif"
"Sad Stories and Poems.pif"
"My Story.pif"
"The Poems.pif"
"Poems for you.pif"
"Only Poems.txt.pif"
病毒发送的邮件地址从受感染的系统的下列扩展名的文件中搜索得到:
".htt"
".rtf"
".doc"
".xls"
".ini"
".mdb"
".txt"
".htm"
".html"
".wab"
".pst"
".fdb"
".cfg"
".ldb"
".eml"
".abc"
".ldif"
".nab"
".adp"
".mdw"
".mda"
".mde"
".ade"
".sln"
".dsw"
".dsp"
".vap"
".php"
".asp"
".shtml"
并将邮件地址保存在文件:
%SYSDIR%\CISSI.DLL
病毒将向默认DNS服务器查询邮件交换记录,一般这个记录包含邮件服务器的IP地址,
病毒将使用该地址发送带毒邮件。
2.Worm.Cissi.c.enc
破坏方法:该病毒是一个通过邮件和ipc弱口令猜测传播的蠕虫,采用Delphi编写,upx压缩
一旦运行,病毒将复制到下列目录:
%SYSDIR%\Cissi.exe
病毒还可能复制到下列目录:
\Documents and Settings\All Users\Start Menu\Programs\Startup
\WINDOWS\Start Menu\Programs\Startup
\WINNT\Profiles\All Users\Start Menu\Programs\Startup
如果操作系统是 Windows 95/98/Me,该病毒将修改文件: System.ini 来自启动
如果操作系统是 Windows NT/2000/XP/2003, 病毒虽然修改文件:System.ini,但不会自启动。
后门:
该病毒是一种IRC bot,它将连接IRC服务器:irc.undernet.org,以某个昵称登录一个IRC频道:
#TCow cow,一旦连接成功,病毒将等待来自服务器的命令。
网络传播:
病毒将进行IPC弱口令猜测,可能的用户名密码组合为:
用户名:
"Guest"
"Administrator"
"Owner"
"Root"
密码:
"1234"
"password"
"6969"
"harley"
"123456"
"golf"
"pussy"
"mustang"
"1111"
"shadow"
"1313"
"fish"
"5150"
"7777"
"qwerty"
"baseball"
"2112"
"letmein"
"12345678"
"12345"
"ccc"
"admin"
"Admin"
"Password"
"1"
"12"
"123"
"1234567"
"123456789"
"654321"
"54321"
"111"
"000000"
"abc"
"pw"
"11111111"
"88888888"
"pass"
"passwd"
"database"
"abcd"
"abc123"
"pass"
"sybase"
"123qwe"
"server"
"computer"
"Internet"
"super"
"123asd"
"0"
"ihavenopass"
"godblessyou"
"enable"
"xp"
"2002"
"2003"
"2600"
"alpha"
"110"
"111111"
"121212"
"123123"
"1234qwer"
"123abc"
"007"
"a"
"aaa"
"patrick"
"pat"
"administrator"
"root"
"sex"
"god"
"foobar"
"secret"
"abc"
"test"
"test123"
"temp"
"temp123"
"win"
"pc"
"asdf"
"oracle'pwd"
"qwer"
"yxcv"
"zxcv"
"home"
"xxx"
"owner"
"login"
"Login"
"pw123"
"love"
"mypc"
"mypc123"
"admin123"
"mypass"
"mypass123"
"901100"
一旦成功,病毒将自动复制到该系统并使用计划工作来远程启动病毒
同时该病毒还会在有写权限的网络映射驱动器上复制病毒体。
该病毒还会通过邮件传播:
发送邮件时包含如下特征:
From: Cissi
主题<下列之一>:
"Heres a poem for you"
"Ive written a poem for you"
"Love poems for you :)"
"Look what i wrote for you"
"Poems for you"
"Roses are red,
You are mine,
I love you until im dead,
It will all be fine."
"I do miss you
I do love you
what you want me to do?
I never want to go."
"Where did you run?
Where did you hide?
I stand here undone
I stand here inside"
"How could u do that
Why did you say that
How do you feel inside
I wish i just could hide"
附件名为<下列之一>:
"LovePoem.pif"
"Poem_collection.pif"
"Zipped_poems.exe"
"My Poems.txt.exe"
"Poems.pif"
"Sad Stories and Poems.pif"
"My Story.pif"
"The Poems.pif"
"Poems for you.pif"
"Only Poems.txt.pif"
病毒发送的邮件地址从受感染的系统的下列扩展名的文件中搜索得到:
".htt"
".rtf"
".doc"
".xls"
".ini"
".mdb"
".txt"
".htm"
".html"
".wab"
".pst"
".fdb"
".cfg"
".ldb"
".eml"
".abc"
".ldif"
".nab"
".adp"
".mdw"
".mda"
".mde"
".ade"
".sln"
".dsw"
".dsp"
".vap"
".php"
".asp"
".shtml"
并将邮件地址保存在文件:
%SYSDIR%\CISSI.DLL
病毒将向默认DNS服务器查询邮件交换记录,一般这个记录包含邮件服务器的IP地址,
病毒将使用该地址发送带毒邮件。
3.Worm.Win32.Dabber.a
破坏方法:一个蠕虫病毒
病毒行为:
病毒运行后,将自己复制到%SYSTEM%目录,..\All Users\Main menu\Programs\StartUp目录及
c:\Documents and Settings\All Users\Start Menu\Programs\Starup目录中,文件名为:package.exe
并在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中加入自己的键值:sassfix=%SYSTEM%\package.exe
病毒使用"sas4dab"为互斥量
病毒尝试删除注册表Run项中的以下键值:(一些病毒建的)
Video Process.
TempCom.
SkynetRevenge
MapiDrv
BagleAV
System Updater Service
soundcontrl
WinMsrv32
drvddll.exe
navapsrc.exe
skynetave.exe
Generic Host Service
Windows Drive Compatibility
windows.Microsoft Update
Drvddll.exe
Drvddll_exe
drvsys
drvsys.exe
ssgrate
ssgrate.exe
lsasss
lsasss.exe
avserve2.exe
avvserrve32.avserve
病毒建立四个线程实现一些功能。
一.后门:
病毒监视9898端口,等待客户端的连接。该后门可以执行一些如:执行文件,从特定网站
下载文件等功能。
二.TFTP服务器:
病毒监听69端口,实现一个tftp服务器,一旦病毒成功的利用漏洞攻击一个系统后被攻入的
系统将从利用该服务器将病毒复制过去执行。以达到传播的目的。
三.一个空线程:
病毒作者并没有实现任何代码。(可能下个版本将实现)
四.利用漏洞进行攻击
病毒利用本地系统的ip进行计算,和到攻击目标地址并尝试对其5554端口(震荡波的后门)的连
接。
1.联接失败:
病毒将再尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)当失败(目标系统
没有被病毒感染)时病毒利用Ms4011漏洞对目标系统进行攻击。并利用自己的tftp服务器将自己复
制过去。
2.联接成功:
病毒将再尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)当失败(目标系统
没有被病毒感染)时病毒利用震荡波的后门将自己复制过去。
4.Worm.Win32.Dabber.a.enc
破坏方法:一个蠕虫病毒
病毒行为:
病毒运行后,将自己复制到%SYSTEM%目录,..\All Users\Main menu\Programs\StartUp目录及
c:\Documents and Settings\All Users\Start Menu\Programs\Starup目录中,文件名为:package.exe
并在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中加入自己的键值:sassfix=%SYSTEM%\package.exe
病毒使用"sas4dab"为互斥量
病毒尝试删除注册表Run项中的以下键值:(一些病毒建的)
Video Process.
TempCom.
SkynetRevenge
MapiDrv
BagleAV
System Updater Service
soundcontrl
WinMsrv32
drvddll.exe
navapsrc.exe
skynetave.exe
Generic Host Service
Windows Drive Compatibility
windows.Microsoft Update
Drvddll.exe
Drvddll_exe
drvsys
drvsys.exe
ssgrate
ssgrate.exe
lsasss
lsasss.exe
avserve2.exe
avvserrve32.avserve
病毒建立四个线程实现一些功能。
一.后门:
病毒监视9898端口,等待客户端的连接。该后门可以执行一些如:执行文件,从特定网站
下载文件等功能。
二.TFTP服务器:
病毒监听69端口,实现一个tftp服务器,一旦病毒成功的利用漏洞攻击一个系统后被攻入的
系统将从利用该服务器将病毒复制过去执行。以达到传播的目的。
三.一个空线程:
病毒作者并没有实现任何代码。(可能下个版本将实现)
四.利用漏洞进行攻击
病毒利用本地系统的ip进行计算,和到攻击目标地址并尝试对其5554端口(震荡波的后门)的连
接。
1.联接失败:
病毒将再尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)当失败(目标系统
没有被病毒感染)时病毒利用Ms4011漏洞对目标系统进行攻击。并利用自己的tftp服务器将自己复
制过去。
2.联接成功:
病毒将再尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)当失败(目标系统
没有被病毒感染)时病毒利用震荡波的后门将自己复制过去。
5.Trojan.QQMsg.Chujingchun
破坏方法:QQ尾巴病毒。
一、随机发送下列消息
刚刚搜索到的一个嗨歌网站!很经典咯,歌曲还蛮好听的 http://***www.918dj.com
问你,想认识美女吗?那就进来找本地的吧! http://***www.koko520.com
你能理解这个FLASH动画的含义吗?我真想认识这个作者,效果做的非常好 http://***www.koko520.com/dh.jpg
在吗?给你介绍一个至COOL,至嗨的DJ先锋站点,很不错的,我在听呢http://***www.918dj.com
受不了了,既然有这样的人,哈哈,笑死人了,快看啊 http://***www.koko520.com
你等一下啊,我在这个网站看别人视频跳舞呢,那个姑娘长的挺不错的,你也一起来啊 http://***www.918dj.com/good.jpg
在吗?我刚刚找到一个好多很好听的歌的网站 http://***www.918dj.com
等等
二、系统中的病毒文件:
windows目录的MICROSOFT.EXE和WINSOFT
三、病毒添加的注册表项:
1 HKEY_CLASSES_ROOT\txtfile\shell\open\command
(默认) : %WINDOWS%\WINSOFT "%1"
2 HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
"KV2004" : MICROSOFT.EXE
6.Trojan.QQMsg.Chujingchun.enc
破坏方法:QQ尾巴病毒。
一、随机发送下列消息
刚刚搜索到的一个嗨歌网站!很经典咯,歌曲还蛮好听的 http://***www.918dj.com
问你,想认识美女吗?那就进来找本地的吧! http://***www.koko520.com
你能理解这个FLASH动画的含义吗?我真想认识这个作者,效果做的非常好 http://***www.koko520.com/dh.jpg
在吗?给你介绍一个至COOL,至嗨的DJ先锋站点,很不错的,我在听呢http://***www.918dj.com
受不了了,既然有这样的人,哈哈,笑死人了,快看啊 http://***www.koko520.com
你等一下啊,我在这个网站看别人视频跳舞呢,那个姑娘长的挺不错的,你也一起来啊 http://***www.918dj.com/good.jpg
在吗?我刚刚找到一个好多很好听的歌的网站 http://***www.918dj.com
等等
二、系统中的病毒文件:
windows目录的MICROSOFT.EXE和WINSOFT
三、病毒添加的注册表项:
1 HKEY_CLASSES_ROOT\txtfile\shell\open\command
(默认) : %WINDOWS%\WINSOFT "%1"
2 HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
"KV2004" : MICROSOFT.EXE
7.Backdoor.Dumador.ad.dll
破坏方法:Backdoor.Dumador.ad的后门dll
该模块实现3个功能:
1.代理服务器 2.一个后门 3.把一个记录系统信息的文件发送到特定的email地址。
8.TrojanSpy.Win32.Banker.ag
破坏方法:一个木马病毒和dll模块配合把用户的键盘消息记录下来并发送到一个特定的email地址里。
9.Win32.Vb.BlareDad
破坏方法:一个VB写的Win32病毒,病毒只是感染PE文件,其感染仅仅是将文件包起来。
10.Win32.Vb.BlareDad.enc
破坏方法:一个VB写的Win32病毒,病毒只是感染PE文件,其感染仅仅是将文件包起来。
11.TrojanDownloader.Win32.Krepper.b
破坏方法:一个自动下载器,从特定网站上下载一个文件并运行。
12.TrojanDrop.Win32.Banker.ag
破坏方法:一个释放病毒TrojanSpy.Win32.Banker.ag的
文件。
13.TrojanDrop.Win32.Banker.ag.enc
破坏方法:一个释放病毒TrojanSpy.Win32.Banker.ag的
文件。
14.TrojanDownLoader.Delf.b
破坏方法:非法连接网络,并下载指定网址的文件到本地运行
15.TrojanProxy.Win32.Mitglieder.av.dll
破坏方法:TrojanProxy.Win32.Mitglieder.av的动态库模块
16.Trojan.PSW.Lmir.mb
破坏方法:一个盗取“传奇”游戏账号密码的木马病毒
17.Trojan.PSW.Lmir.mb.enc
破坏方法:一个盗取“传奇”游戏账号密码的木马病毒
18.Trojan.Win32.VB.ak
破坏方法:木马病毒,记录本机信息然后发送出去
19.Trojan.PSW.Lmir.ln
破坏方法:窃取游戏"传奇"帐号密码的木马病毒
20.Trojan.PSW.Lmir.ln.enc
破坏方法:窃取游戏"传奇"帐号密码的木马病毒
21.Trojan.PSW.LMir.lo
破坏方法:窃取游戏"传奇"信息的木马病毒
22.Exploit.Win32.DCom.cs
破坏方法:用于检测RPC漏洞的黑客工具
23.Exploit.Win32.DCom.cr
破坏方法:用于检测RPC漏洞的黑客工具
24.Trojan.PSW.Delf.dll
破坏方法:Trojan.PSW.Delf的动态库。
25.Trojan.PSW.Delf.dll.enc
破坏方法:Trojan.PSW.Delf的动态库。
26.Trojan.PSW.VB.bm
破坏方法:一个用vb编写的木马病毒。
27.Trojan.PSW.VB.bm.a
破坏方法:一个用vb编写的木马病毒。
28.Trojan.PSW.VB.bm.b
破坏方法:一个用vb编写的木马病毒。
29.Worm.Welchia.k
破坏方法:病毒:“冲击波杀手”变种
30.Worm.Welchia.k.enc
破坏方法:病毒:“冲击波杀手”变种
31.Trojan.PSW.Almat.k
破坏方法:一个盗取密码的木马。
32.Trojan.PSW.Almat.k.enc
破坏方法:一个盗取密码的木马。
33.Trojan.PSW.Lmir.lm
破坏方法:病毒使用的辅助文件。
34.Trojan.StartPage.bz
破坏方法:非法修改用户IE设置
35.Worm.Agobot.3.ko
破坏方法:病毒:“高波”变种
36.Worm.Agobot.3.kp
破坏方法:病毒:“高波”变种
37.Worm.Agobot.3.kr
破坏方法:病毒:“高波”变种
38.Worm.BBeagle.af
破坏方法:病毒:“恶鹰”变种
39.Worm.BBeagle.af.enc
破坏方法:病毒:“恶鹰”变种
40.Trojan.Win32.VB.ei
破坏方法:偷传奇密码的工具
41.Trojan.PSW.Delf.cg
破坏方法:一个木马病毒。
42.Trojan.PSW.Delf.cg.enc
破坏方法:一个木马病毒。
43.Trojan.Win32.VB.em
破坏方法:vb写的木马程序
44.Trojan.Win32.VB.en
破坏方法:一个vb写的木马
45.Trojan.PSW.Delf.ci
破坏方法:一个木马病毒。
46.Trojan.PSW.Delf.ci.enc
破坏方法:一个木马病毒。
47.Trojan.QQPSW.g
破坏方法:盗QQ密码的木马
48.Trojan.QQPSW.g.enc
破坏方法:盗QQ密码的木马
49.Backdoor.Lonp.22
破坏方法:后门病毒
50.Backdoor.Spyboter.bf
51.Backdoor.Spyboter.bf.enc
52.Backdoor.SdBot.ip
53.Backdoor.SdBot.ip.enc
54.Backdoor.SdBot.iq
55.Backdoor.SdBot.ir
56.Backdoor.SdBot.ir.enc
57.Backdoor.SdBot.is
58.Backdoor.SdBot.is.enc
59.Backdoor.RmCtrlAnyWhere.client
60.Backdoor.RmCtrlAnyWhere.client.enc
61.Backdoor.SdBot.ij
62.Backdoor.SdBot.ij.enc
63.Backdoor.SdBot.ik
64.Backdoor.SdBot.ik.enc
65.Backdoor.SdBot.il
66.Backdoor.SdBot.il.enc
67.Backdoor.SdBot.im
68.Backdoor.SdBot.im.enc
69.Backdoor.SdBot.in
70.Backdoor.SdBot.in.enc
71.Backdoor.SdBot.io
72.Backdoor.SdBot.io.enc
73.Trojan.Win32.VB.el
74.Trojan.Win32.VB.dz
75.Trojan.PSW.LMir.iu.Dlla
76.Trojan.Krepper.h
77.TrojanDownLoader.Small.fr
78.Trojan.StartPage.fv
79.Constructor.VBS.Panamas.b
80.Constructor.Win32.Sevenc.10.a
81.I-Worm.Alcaul.h
82.I-Worm.Alcaul.h.enc
83.I-Worm.Alcaul.o
84.I-Worm.Alcaul.o.enc
85.Trojan.StartPage.ab
86.Trojan.StartPage.ab.enc
87.Worm.Agobot.3.ks
88.Worm.Agobot.3.ks.enc
89.Worm.Agobot.3.kt
90.Worm.Agobot.3.kt.enc
脚本病毒(8)
91.Script.StartPage.c
破坏方法:修改用户主页的恶意脚本。
破坏注册表设置,如下所示
1 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"start page" : HTTP://SEARCHCENTRAL.CC/INDEX.PHP?V=4&AFF=4621
2 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"search page" : HTTP://SEARCHCENTRAL.CC/INDEX.PHP?V=4&AFF=4621
3 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"search bar" : HTTP://SEARCHCENTRAL.CC/SEARCH.PHP?V=4&AFF=4621
4 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunOnce
"tlc" : %WINDOWS%\UPDATE12.JS
92.Script.Win32.Sevenc.10.a
破坏方法:病毒网页,搜索硬盘上所有以htm型文件,向其中写入自己的代码,给自己做广告。
93.VBS.Panamas.b
破坏方法:脚本病毒,由病毒生成器生成。能改写IE首页,写注册表启动项。
94.BAT.Batchafasd.68
破坏方法:恶意脚本。
95.BAT.Skul
96.Script.Terra
97.Js.I-Worm.Alcaul.o
98.Vbs.sasser
普通文件病毒(4)
99.Worm.BBeagle.af.dll
破坏方法:病毒:“恶鹰”变种释放出的dll,该dll负责
加载一个后门模块。
100.Trojan.QQinfor
破坏方法:干扰QQ聊天的木马。
101.Backdoor.NetDevil.10.Logger.a
102.Backdoor.NetDevil.10.Logger.b