| 词条 | 蠕虫病毒Win32.Nirbot.A |
| 释义 | 其它名称:W32/Backdoor.VZB (F-Secure), Backdoor.Win32.IRCBot.yc (Kaspersky), Troj/IRCBot-TC (Sophos), Win32/Nirbot.A!Worm, W32.Spybot.Worm (Symantec) 病毒属性:蠕虫病毒 危害性:中等危害 流行程度:中 具体介绍: § 病毒特性: Win32/Nirbot.A是一种IRC控制的后门,能够未经授权的访问被感染机器,它还会显示类似蠕虫的功能。 § 感染方式: 第一次运行时,Nirbot.A复制到以下位置: %System%\\lemsrv.exe 并设置以下注册表键值,以确保在每次系统启动时运行病毒: HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\LEMSRV = "%System%\\lemsrv.exe" Nirbot.A不断的查找并设置以上注册表键值。 注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。 传播方式: 通过后门控制手工启动传播。 Nirbot.A以扫描易受攻击的目标机器开始传播程序。蠕虫为目标IP地址生成任意值。 Nirbot.A通过攻击Microsoft Windows Server Service (MS06-040)漏洞进行传播。如果攻击成功,它会在目标机器上运行一个很小的代码,用来连接后面的源,从而获取蠕虫的可运行程序。为了能够给目标提供蠕虫副本,蠕虫在源机器上运行一个HTTP服务器。如果在网络上攻击机器,并不能通过新的攻击主机到达,它就会从66.29.116.82 IP地址获取蠕虫副本。 可以到以下站点下载相关的漏洞补丁: http://www.microsoft.com/china/technet/security/bulletin/ms06-040.mspx 危害: 后门功能 Nirbot.A是一种IRC控制的后门,为了能够控制被感染的机器,它尝试连接到一个预先确定的IRC服务器所在的域phatcamp.org,并加入特定的信道。一旦被感染机器被控制住,黑客就可能指示Nirbot.A执行以下恶意操作: 获取系统信息,例如操作系统的详细信息; 从Internet下载并运行文件; 在被感染机器上运行一个 SOCKS 代理; 执行拒绝服务攻击; 在被感染机器上运行命令; 更新病毒; 删除病毒。 清除: KILL安全胄甲InoculateIT 23.73.84,Vet 30.3.3246版本可检测/清除此病毒。 § 相关条目 特洛伊病毒Win32.SillyDl.IQ Win32.Kipis.A蠕虫病毒 蠕虫病毒Win32.Luder.U 特洛伊病毒Win32.Chepvil.C 蠕虫病毒Win32.Luder.O 蠕虫病毒Win32.Robzips.M 蠕虫病毒Win32.Duiskbot.AF |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。