Win32.Troj.Poebot.70754.E959B747
威胁级别: ★★☆☆☆
病毒类型:木马程序
病毒长度: 70754
影响系统: WinNT Win2000 WinXP Win2003
病毒行为:
该病毒运行后复制自身至系统文件夹,然后创建批处理删除自身,并通过伪装winamp播放器进程运行。病毒打开用户计算机后门,允许远程攻击者控制用户计算机,包括收集、下载、盗取用户信息,对用户的电脑系统及个人网络财产的安全构成严重威胁。同时该病毒会生成一个局域网IP地址,并利用系统漏洞及自身的密码字典,尝试破解弱密码,来进行恶意攻击和传播。
另外,该病毒还具有盗取网络游戏”魔兽世界“和”Unreal3“等CD-Keys的功能。
1.复制自身至
%system%\winamp.exe
然后用批处理删除自身
2.启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunWinamp Agent "%sys32dir%\winamp.exe"
3.盗取以下软件用户信息(帐号、密码、CD-Keys):
FlashFXP
internetexplorer
OutlookExpress
MSN Explorer
UnrealIRCD
Steam
World OfWarcraft
Conquer Online
4.复制自身至 IPC$ 共享:
IPC$
print$
C$\Documentsand Settings\All Users\Documents\$
admin$
Admin$\system32
c$\windows\system32
c$\winnt\system32
c$\windows
c$\winnt
e$\shared
d$\shared
c$\shared
并利用以下弱密码攻击以获取权限:
winpass
blank
nokia
orainstall
sqlpassoainstall
databasepassword
databasepass
dbpassword
dbpass
domainpassword
domainpass
hello
hell
love
money
slut
bitch
fuck
exchange
loginpass
login
qwe
zxc
asd
qaz
win2000
winnt
winxp
win2k
win98
windows
oeminstall
oem
accounting
accounts
letmein
sex
outlook
qwerty
temp123
temp
null
default
changeme
demo
test
secret
payday
deadline
work
pwd
pass
pass1234
dba
passwd
password
password1
abc
staff
teacher
owner
student
intranet
lan
main
office
control
siemens
compaq
dell
cisco
ibm
oracle
sql
data
access
database
domain
god
backup
technical
mary
katie
kate
george
eric
none
guest
chris
ian
neil
lee
brian
susan
sue
sam
luke
peter
john
mike
bill
fred
joe
jen
bob
wwwadmin
oemuser
user
homeuser
home
internet
www
web
root
server
linux
unix
computer
adm
admin
admins
administrat
administrateur
administrador
administrator
5.打开系统后门,允许远程攻击者控制用户计算机,包括:
收集系统信息
扫描局域网机器并传播
下载和运行指定程序
运行http/ftp服务
升级病毒文件
盗取软件密码
6.尝试利用以下漏洞,及自身的弱密码攻击网络共享和SQL服务器:
SMB(MS03-024)
SRVSVC(MS06-040)
RPC-DOM(MS06-012)
解决方案:
该病毒集黑客工具、木马、后门、蠕虫病毒的行为于一体,中毒后,将对系统和局域网带来严重影响。发现此病毒入侵,应立即尝试修改系统管理员口令,避免使用弱密码。修改口令的方法见:新手必读系列的《杀毒需要了解的基本功——更改帐户密码》。
使用金山清理专家全面检测系统漏洞,并尝试修复。
该病毒的手工删除很简单,只需要删除这个文件%system%\winamp.exe,再用金山清理专家2.1,使用系统修复,把这一项目的引用修复即可。
