Virus 版 (精华区)

发信人: FongHit (Fong), 信区: Virus
标  题: 病毒报告：高波变种 (Worm.Agobot.3.ch) 
发信站: 哈工大紫丁香 (Wed Mar 10 21:32:13 2004), 站内信件


发现日期：3月10日

该病毒是“高波”病毒的最新变种，传播力很强，病毒通过微软的RPC漏洞传播。

一、病毒评估

1．病毒中文名：高波
2．病毒英文名：Worm.Agobot.3.ch
3．病毒别名：Backdoor.Agobot.fo(AVP)
4．病毒大小：115,738 字节
5．病毒类型：蠕虫病毒
6．病毒危险等级：★★★★
7．病毒传播途径：网络
8．病毒依赖系统：NT/2000/XP

二、病毒的破坏 

1．RPC漏洞扫描攻击
病毒攻击存在微软RPC DCOM漏洞的机器，传染速度极快,造成网络阻塞。
2. 盗取用户信息
病毒能够盗取大量的用户信息如:游戏CDKEY,序列号等。

三、病毒报告

病毒采用PE Diminisher v0.1压缩，VC++6.0编写，蠕虫。
一旦执行，病毒将自我复制系统文件夹. 

它将创建下列注册表键值来使自己随Windows系统自启动: 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"nVidia Chip4"="%SYSDIR%\%CURFILE%"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"nVidia Chip4"="%SYSDIR%\%CURFILE%"

网络传播：

该病毒利用在 Windows 2000 和 XP 系统上的 Remote Procedure Call (RPC) Distribut
ed Component Object Model (DCOM) 漏洞。该漏洞允许攻击者获得在目标机器上完全的访
问权限和执行代码权利。 

通过对随机的 TCP/IP 地址的135端口的进行扫描，找到网络中存在安全漏洞的系统。 


有关该漏洞的更多信息可以从下面的链接中找到： 


Microsoft Security Bulletin MS03-026 

另外，该病毒还会在下面的拥有完全访问权限的网络共享中生成并执行自己的拷贝： 

admin$ 
c$ 
d$ 
e$ 
print$ 

它可以进行IPC弱口令猜测，可能的用户名、密码组合为：
用户名: 
"Administrateur"
"Coordinatore"
"Administrador"
"Verwalter"
"Ospite"
"kanri"
"kanri-sha"
"admin"
"administrator"
"Default"
"Convidado"
"mgmt"
"Standard"
"User"
"Administrat"
"administrador"
"Owner"
"user"
"server"
"Test"
"Guest"
"Gast"
"Inviter"
"a"
"aaa"
"abc"
"x"
"xyz"
"Dell"
"home"
"pc"
"test"
"temp"
"win"
"asdf"
"qwer"
"OEM"
"root"
"wwwadmin"
"login"
"owner"
"mary"
"admins"
"computer"
"xp"
"OWNER"
"mysql"
"database"
"teacher"
"student"
密码: 
"admin"
"Admin"
"password"
"Password"
"1"
"12"
"123"
"1234"
"!@#$"
"asdfgh"
"!@#$%"
"!@#$%^"
"!@#$%^&"
"!@#$%^&*"
"WindowsXP"
"windows2k"
"windowsME"
"windows98"
"windoze"
"hax"
"dude"
"owned"
"lol"
"ADMINISTRATOR"
"rooted"
"noob"
"TEMP"
"share"
"r00t"
"ROOT"
"TEST"
"SYSTEM"
"LOCAL"
"SERVER"
"ACCESS"
"BACKUP"
"computer"
"fucked"
"gay"
"idiot"
"Internet"
"test"
"2003"
"2004"
"backdoor"
"whore"
"wh0re"
"CNN"
"pwned"
"own"
"crash"
"passwd"
"PASSWD"
"devil"
"linux"
"UNIX"
"feds"
"fish"
"changeme"
"ASP"
"PHP"
"666"
"BOX"
"Box"
"box"
"12345"
"123456"
"1234567"
"12345678"
"123456789"
"654321"
"54321"
"111"
"000000"
"00000000"
"11111111"
"88888888"
"pass"
"passwd"
"database"
"abcd"
"oracle"
"sybase"
"123qwe"
"server"
"computer"
"Internet"
"super"
"123asd"
"ihavenopass"
"godblessyou"
"enable"
"xp"
"2002"
"2003"
"2600"
"0"
"110"
"111111"
"121212"
"123123"
"1234qwer"
"123abc"
"007"
"alpha"
"patrick"
"pat"
 "administrator"
"root"
"sex"
"god"
"foobar"
"a"
"aaa"
"abc"
"test"
"temp"
"win"
"pc"
"asdf"
"secret"
"qwer"
"yxcv"
"zxcv"
"home"
"xxx"
"owner"
"login"
"Login"
"Coordinatore"
"Administrador"
"Verwalter"
"Ospite"
 "administrator"
"Default"
"administrador"
"admins"
"teacher"
"student"
"superman"
"supersecret"
"kids"
"penis"
"wwwadmin"
"database"
"changeme"
"test123"
"user"
"private"
"69"
"root"
"654321"
"xxyyzz"
"asdfghjkl"
"mybaby"
"vagina"
"pussy"
"leet"
"metal"
"work"
"school"
"mybox"
"box"
"werty"
"baby"
"porn"
"homework"
"secrets"
"x"
"z"
"qwertyuiop"
"secret"
"Administrateur"
"abc123"
"password123"
"red123"
"qwerty"
"admin123"
"zxcvbnm"
"poiuytrewq"
"pwd"
"pass"
"love"
"mypc"
"mypass"
"pw"
此用户名密码词典长度较长，因此建议用户最好将密码设置越复杂越好。

后门功能 ：
该病毒拥有后门程序功能，它允许远程用户获取访问受感染系统的权限。
它连接到一个Internet Relay Chat (IRC)频道，并成为一种bot，等待来自恶意用户的下
面命令： 
发送如下的系统信息： 
CPU 速度 
内存大小 
Windows 平台, 版本号和产品 ID 
病毒正常运行时间 
当前登陆的用户 
使共享网络失效 
结束恶意程序 
通过 DNS 解析 IP 和主机名 
获取病毒状态 
执行 .EXE 文件 
打开文件 
对 DNS 缓冲区进行洪水攻击 
使 DCOM 失效/ 使共享失效 
对 IRC 服务器断开/重新连接 
改变 IRC 服务器 
加入一个频道 
离开一个频道 
通过 IRC 发送私人信息 
通过 HTTP 或 FTP 更新病毒 
从 HTTP 或 FTP 服务器下载并执行一个文件 
重启电脑 
关闭电脑 
使当前用户退出登陆 
对正在运行的所有进程列表 
对目标机器执行下面的洪水攻击: 
ICMP Flood 攻击
UDP Flood  攻击
SYN Flood  攻击
HTTP Flood 攻击

信息盗取： 
它能够盗取用户系统信息，包括：
一些软件的CDKEY，序列号，ID，如：
BF1942 CDKey 
BF1942 RtR CDKey 
BF1942 SWoWWII CDKey 
Chrome CDKey 
Command & Conquer Generals CDKey 
Counter-Strike CDKey 
FIFA 2002 CDKey 
FIFA 2003 CDKey 
Half-Life CDKey 
Hidden and Dangerous 2 CDKey 
LoMaM CDKey 
NFSHP2 CDKey 
NHL 2002 CDKey 
NHL 2003 CDKey 
NOX CDKey 
NWN CDKey 
Nascar 2002 CDKey 
Nascar 2003 CDKey 
Project IGI 2 CDKey 
Red Alert 2 CDKey 
Red Alert CDKey 
SOF2 CDKey 
The Gladiators CDKey 
Tiberian Sun CDKey 
UT2003 CDKey 
Windows Product ID 
等等

病毒运行后症状：

它能够终止大量计算机防护软件的运行，如：
zonealarm.EXE
zapro.EXE
vsmon.EXE
vshwin32.EXE
vbcmserv.EXE
sbserv.EXE
rtvscan.EXE
rapapp.EXE
pcscan.EXE
pccwin97.EXE
pccntmon.EXE
pavproxy.EXE
nvsvc32.EXE
ntrtscan.EXE
npscheck.EXE
notstart.EXE
lockdown2000.EXE
iamserv.EXE
iamapp.EXE
gbpoll.EXE
gbmenu.EXE
fsmb32.EXE
fsma32.EXE
fsm32.EXE
fsgk32.EXE
fsav32.EXE
fsaa.EXE
fnrb32.EXE
fih32.EXE
fch32.EXE
fameh32.EXE
f-stopw.EXE
defscangui.EXE
defalert.EXE
cpd.EXE
cleaner3.EXE
cleaner.EXE
ccPxySvc.EXE
ccEvtMgr.EXE
ccApp.EXE
blackd.EXE
avpm.EXE
avkwctl9.EXE
avkservice.EXE
avkpop.EXE
apvxdwin.EXE
agentw.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
ZONEALARM.EXE
ZONALM2601.EXE
 ZAUINST.EXE
ZATUTOR.EXE
ZAPSETUP3001.EXE
ZAPRO.EXE
XPF202EN.EXE
WrCtrl.EXE
WrAdmin.EXE
WYVERNWORKSFIREWALL.EXE
WSBGATE.EXE
WRCTRL.EXE
。。。

注: %SYSDIR% 是可变的WINDOWS系统文件夹，默认为： C:\Windows\System (Windows 95
/98/Me), 
    C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP)、

    %CURFILE%  是指当前的文件名,是可变的。


四、病毒解决方案：

1.进行升级
瑞星公司将于3月5日当天进行升级，升级后的软件版本号为16.16.20，该版本的瑞星杀毒
软件可以彻底查杀“网络天空”病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆
瑞星网站（http://www.rising.com.cn/）下载升级包进行升级，或者使用瑞星杀毒软件的
智能升级功能。

2.使用专杀工具
由于该病毒的特性，瑞星公司还为手足暂时没有杀毒软件的用户提供了免费的病毒专杀工
具，用户可以到：http://it.rising.com.cn/service/technology/tool.htm网址进行免费
下载，并进行该病毒的清除。

3.使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品是通过手机付
费使用的，用户可以登陆：http://online.rising.com.cn/使用在线杀毒产品，或者登陆
：http://go.rising.com.cn/使用下载版产品。

4.打电话求救
如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800
来寻求反病毒专家的帮助！

5.手动清除
注：此处描述病毒的手工清除方法
（1）打开注册表编辑器,删除如下键值<如果存在的话>:
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 " nVidia Chip4" ="%SYSDIR%\winhlpp32.exe"
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
 " nVidia Chip4" ="%SYSDIR%\winhlpp32.exe"
（2）打开任务管理器查看是否存在进程名为: winhlpp32.exe,终止它
（3）将% SYSDIR %目录下的文件: avguard.exe删除

 注:% SYSDIR %位Windows系统的安装目录，在win9x,winme,winxp下默认为:C:\WINDOWS\
SYSTEM,win2k下默认为:C:\WINNT\SYSTEM32。

五、安全建议：

1.建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太
了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使
您的计算机更安全。

2.关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如
 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太
大用处，如果删除它们，就能大大减少被攻击的可能性。 

3.经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色
代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然
。

4.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用
复杂的密码，将会大大提高计算机的安全系数。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机
受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的
计算机免受病毒破坏：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项
是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防
毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一
些主要监控经常打开（如邮件监控）、遇到问题要上报， 这样才能真正保障计算机的安全



--
怎样在http://bbs.hit.edu.cn上贴图
1.访问ftp://210.46.78.217
2.上传你要贴的图片
3.在bbs贴图区发表文章
4.写上http://210.46.78.217/pic/你要贴的图名称（含后缀）
5.发表，done！！
※ 来源:．哈工大紫丁香 bbs.hit.edu.cn [FROM: 210.46.78.217]