audition.exe
zhengtu.exe
zxcv
J 试图使用以下弱口令破解网络共享
qazwsx
qaz
qwer
!@#$%^&()
!@#$%^&(
!@#$%^&
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
654321
123456
12345
1234
123
111
1
admin
K 一旦破解,病毒复制文件到 C$Ins.exe 并且使用以下特性的服务来启动程序
服务名 DLAN
显示名 DLAN
L 连接以下网址通知黑客被破解的计算机
httptj.imrw0rldwide.comco.aspaction=post&HD=[data]&OT=[data]&IV=[data]&AV=[data]
M 连接以下网址接受配置信息
httpsoft.imrw0rldwide.comz.dat
二 木马病毒 Trojan.Peacomm.B 危害级别:★☆☆☆☆
Trojan.Peacomm.B 是一个木马病毒,长度 91,849 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。这个木马生成 rootkit 驱动程序传播病毒,下载其他恶意程序。当收到、打开此病毒时,主要有以下危害:
A 检查虚拟机 VMWare VirtualPC 是否启动,如启动则关闭
B 生成系统信号量 A8dK894Lm9#F2i$s0Bq2X 避免病毒被多次执行
C 生成文件
系统目录windev-[随机4个数字]-[随机4个数字].sys
系统目录windev-peers.ini
D 生成注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswindev-[随机4个数字]-[随机4个数字]
用于创建服务
E 创建以下特性的服务
名称 windev-[随机4个数字]-[随机4个数字]
影像位置 %System%driverswindev-[随机4个数字]-[随机4个数字].sys
F 挂接以下API保护病毒自身
NtQueryDirectoryFile
NtEnumerateKey
NtEnumerateValueKey
G 挂接 TCPIP 进行监破坏
H 搜索SERVICES.EXE 进程,注入并隐藏
I 生成加密监听列表文件windev-peers.ini
J 打开 UDP 端口 7871 和 8815,等待加密通信
K 通过点对点协议传播病毒,下载执行其他恶意程序
L 收集计算机信息
M 关闭Windows自带防火墙
N 搜索以下扩展名文件中的邮件地址
.adb
.asp
.cfg
.cgi
.dat
.dbx
.dhtm
.eml
.htm
.jsp
.lst
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
O 发送垃圾邮件到搜集到的邮件地址
P 避免发送到含有以下字符的地址
@avp.
@foo
@iana
@messagelab
