Worm.Coolbot.a_病毒数据库

病毒名称: Worm.Coolbot.a 类别：蠕虫病毒资料：      破坏方法：

    LCC编写的蠕虫病毒，采用UPX压缩，是一种IRC的木马

    一旦执行，病毒将自我复制到系统文件夹.

    ％SYSDIR％\winspsv.exe

    它将创建下列注册表键值来使自己随Windows系统自启动:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    "Windows Services"="％SYSDIR％\winspsv.exe"

    HKLM\Software\Microsoft\Windows\CurrentVersion
    \RunServices
    "Windows Services"="％SYSDIR％\winspsv.exe"

    病毒试图连接IRC服务器：klite6.dyn.nu，加入频道：#coolxboot

    网络传播：

    该病毒利用在 windows 2000 和 XP 系统上的 Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) 漏洞。
    该漏洞允许攻击者获得在目标机器上完全的访问权限和执行代码权利。

    通过对随机的 TCP/IP 地址的135端口的进行扫描，找到网络中存在安全漏洞的系统。

    有关该漏洞的更多信息可以从下面的链接中找到：

    Microsoft Security Bulletin MS03-026

    病毒使用该漏洞进行传播，复制自己到存在漏洞的系统的下列目录下：
    C:\Documents and Settings\Default User\Templates
    C:\WINDOWS\Start Menu\Programs\Startup
    C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup
    \WINNT\Profiles\All Users\Start Menu\Programs
    \Startup
    \WINDOWS\Start Menu\Programs\Startup
    \Documents and Settings\Default User\Templates
    它通过 NetBios的远程延时执行功能执行这些文件

    释放一个文件：remexec.exe，用来远程执行可执行程序<这是一个第三方程序，来自 Sysinternals>


    另外，该病毒还会在下面的拥有完全访问权限的网络共享中生成并执行自己的拷贝：

    admin$
    c$
    d$
    e$
    print$

    它可以进行IPC弱口令猜测，可能的用户名、密码组合为：
    用户名:
    "Guest"
    "Owner"
    "Root"
    密码：
    "1234"
    "passWord"
    "6969"
    "harley"
    "123456"
    "golf"
    "pussy"
    "mustang"
    "1111"
    "shadow"
    "1313"
    "fish"
    "5150"
    "7777"
    "qwerty"
    "baseball"
    "2112"
    "letmein"
    "12345678"
    "12345"
    "ccccccccccccccccccccccccccccccccccccccc"
    "admin"
    "Admin"
    "Password"
    "1"
    "12"
    "123"
    "1234567"
    "123456789"
    "654321"
    "54321"
    "111"
    "000000"
    "00000000"
    "11111111"
    "88888888"
    "pass"
    "passwd"
    "database"
    "abcd"
    "abc123"
    "Oracle"
    "sybase"
    "123qwe"
    "server"
    "computer"
    "Internet"
    "super"
    "123asd"
    "ihavenopass"
    "godblessyou"
    "enable"
    "xp"
    "2002"
    "2003"
    "2600"
    "0"
    "110"
    "111111"
    "121212"

    "123123"
    "1234qwer"
    "123abc"
    "007"
    "alpha"
    "patrick"
    "pat"
    "administrator"
    "root"
    "sex"
    "god"
    "Foobar"
    "a"
    "aaa"
    "abc"
    "test"
    "test123"
    "temp"
    "temp123"
    "win"
    "pc"
    "asdf"
    "secret"
    "qwer"
    "yxcv"
    "zxcv"
    "home"
    "xxx"
    "owner"
    "login"
    "Login"
    "pwd"
    "pass"
    "love"
    "mypc"
    "mypc123"
    "admin123"
    "pw123"
    "mypass"
    "mypass123"
    "pw"
    "901100"

    该病毒可以盗取如下用户的信息：
    Tiberian Sun CDKey
    Alert 2 CDKey
    Command & Conquer Generals CDKey
    FIFA 2003 CDKey
    NFSHP2 CDKey
    Gladiators CDKey
    SOF2 CDKey
    NWN CDKey
    Rainbow Six III RavenShield CDKey
    Battlefield 1942 CDKey
    Project IGI 2 CDKey
    Counter-Strike ( Retail ) CDKey
    Unreal Tournament 2003 CDKey
    Half-Life CDKey

    注: ％SYSDIR％是可变的WINDOWS系统文件夹，默认为： C:\Windows\System (Windows 95/98/Me),
    C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP).
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：      Windows下的PE病毒。

发现日期： 2004-1-31