Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Kolabc.WN
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:52.624 字节
MD5 校检和:65cf5d3bc5efd0d4ffcf83bfb59ba33b
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 传播方法:
   • 局域网络
   • 网络驱动器映射


别名:
   •  Symantec: W32.IRCbot
   •  Mcafee: Puper
   •  Kaspersky: Net-Worm.Win32.Kolabc.wn
   •  F-Secure: Net-Worm.Win32.Kolabc.wn
   •  Panda: W32/Sdbot.LUQ.worm
   •  VirusBuster: Worm.Poebot.OA
   •  Eset: Win32/Poebot.NBF
   •  Bitdefender: Backdoor.IRCBot.ACGJ


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 下载恶意文件
   • 注册表修改
   • 窃取信息
   • 第三方控件

 文件 它会使用列表中的文件名植入其本身的副本:
– 收件人: %SYSDIR%\ 使用以下名称:
   • winamp.exe
   • winIogon.exe
   • firewall.exe
   • spooIsv.exe
   • spoolsvc.exe
   • Isass.exe
   • lssas.exe
   • algs.exe
   • logon.exe
   • iexplore.exe




创建以下文件:

%恶意软件执行目录%:\%五位数的随机字符串%.bat 成功创建后,它会被执行。 此批处理文件用于删除文件。



它会尝试下载一些文件:

– 该位置如下所示:
   • http://alwayssam**********
它会保存在硬盘驱动器以下的位置: %SYSDIR%\%随机字符串%.exe 成功下载后执行。 进一步的调查表明,此文件是恶意软件。

– 该位置如下所示:
   • http://alwayssam**********
它会保存在硬盘驱动器以下的位置: %SYSDIR%\%随机字符串%.exe 成功下载后执行。 进一步的调查表明,此文件是恶意软件。

– 该位置如下所示:
   • http://alwayssam**********
它会保存在硬盘驱动器以下的位置: %SYSDIR%\%随机字符串%.exe 成功下载后执行。 进一步的调查表明,此文件是恶意软件。

– 该位置如下所示:
   • http://zonetech**********
它会保存在硬盘驱动器以下的位置: %SYSDIR%\%随机字符串%.exe 成功下载后执行。 进一步的调查表明,此文件是恶意软件。 此批处理文件用于删除文件。

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows Network Firewall="%SYSDIR%\firewall.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Winamp Agent"="%SYSDIR%\winamp.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\winIogon.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\logon.exe"

 网络感染 该恶意软件会尝试以下方式连接其他计算机来作广泛传播/感染。

它会将其本身的副本植入以下网络共享中:
   • IPC$
   • print$
   • C$\Documents and Settings\All Users\Documents\$
   • admin$
   • Admin$\system32
   • c$\windows\system32
   • c$\winnt\system32
   • c$\windows
   • c$\winnt
   • e$\shared
   • d$\shared
   • c$\shared


它使用以下登录信息来访问远程计算机:

– 以下用户名列表:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– 以下密码列表:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; databasepassword;
      databasepass; dbpassword; dbpass; domainpassword; domainpass; hello;
      hell; love; money; slut; bitch; fuck; exchange; loginpass; login; qwe;
      zxc; asd; qaz; win2000; winnt; winxp; win2k; win98; windows;
      oeminstall; oem; accounting; accounts; letmein; sex; outlook; mail;
      qwerty; temp123; temp; null; default; changeme; demo; test; secret;
      payday; deadline; work; pwd; pass; pass1234; dba; passwd; password;
      password1



感染进程:
在受影响的计算机上创建 TFTP 或 FTP 脚本,以便将恶意软件下载到远程位置。

 IRC 为了提供系统信息和远程控制,它会连接到以下 IRC 服务器:

服务器: hub.54**********
端口: 1863
通道: #las6;#rs2;#fox;# 63;# kok6
昵称: Cyzuzeof
密码: stseelkvyyrucnss

服务器: xx.ka3**********
端口: 5190
通道: #las6;#rs2;#fox;# 63;# kok6
昵称: Cyzuzeof

服务器: p.ircs**********
端口: 8080
通道: #las6;#rs2;#fox;# 63;# kok6
昵称: Cyzuzeof

服务器: n.ircs**********
端口: 5555
通道: #las6;#rs2;#fox;# 63;# kok6
昵称: Cyzuzeof

服务器: xx.sql**********
端口: 7000
通道: las6;#rs2;#fox;# 63;# kok6
昵称: Cyzuzeof



– 此恶意软件能够搜集并发送类似如下信息:
    • 当前用户
    • 可用磁盘空间
    • 可用内存
    • 恶意软件运行时间
    • 有关网络的信息
    • 用户名
    • Windows 操作系统信息


– 而且,它能够进行此般操作:
    • 连接到 IRC 服务器
    • 与 IRC 服务器断开连接
    • 加入 IRC 通道
    • 离开 IRC 通道
    • 上传文件

 窃取 它会尝试窃取以下信息:
– 在“密码输入字段”中输入的密码
– 记录的密码由自动完成功能使用

– 来自以下程序的密码:
   • UnrealIRCD
   • Steam
   • World Of Warcraft
   • Conquer Online

– 它会使用网络嗅探器来检查以下字符串:
   • irc operator; paypal; paypal.com; cd key; cd-key; cdkey; passwort;
      auth; sxt; login; pass=; login=; password=; username=; passwd=; :auth;
      identify; oper; MailPass; pass; unknown; user

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • WinUpack

Beschrijving ingevoegd door Alexandru Dinu op woensdag 30 juli 2008
Beschrijving bijgewerkt door Alexandru Dinu op woensdag 30 juli 2008

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.