简介

传播过程及特征

其他

简介

TrojanProxy.Bobax.c

病毒长度：22,528 字节

病毒类型：代理木马

危害等级：**

影响平台：Win2000/XP

TrojanProxy.Bobax.c在端口445和135利用LSASS漏洞和DCOM RPC漏洞进行传播，感染的计算机转发邮件传播，并允许攻击者未经授权随意访问，可能会导致机器重启。

传播过程及特征

1.复制自身为：

%System%\\<任意字符>.exe

2.修改注册表：

添加键值："<任意字符>" = "%System%\\<任意字符>.exe"

到注册表：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

3.试图删除临时文件夹%temp%下文件名以“ ~ ”开头的所有文件。

在临时文件夹%temp%下生成.tmp文件，此文件实质上是包含木马的.dll文件。

4.将.dll文件嵌入Explorer.exe并结束<任意字符>.exe

5.从不同的站点下载文件用来测试网络连接速度，此外它会选择有唯一ID的远程web服务器进行连接感染，成功后发送系统信息进行通告，然后病毒会发出激活指令响应，导致有如下操作：

发送垃圾邮件

发送系统信息给作者

停止/重启扫描程序

下载/运行特定可执行程序

进行自我更新

6.对随机产生的IP地址进行扫描，试图连接TCP端口5000。并测定目标系统是否存在LSASS漏洞和DCOM RPC漏洞：

/Windows XP：

a.在TCP端口445发送shell命令，试图发现LSASS漏洞，如果没有则在TCP端口135测定是否有DCOM RPC漏洞。

b.一旦发现可利用的漏洞，便强制性的通过HTTP在任意端口与远程计算机取得连接并下载病毒程序，同时保存为Svc.exe或具有.gif扩展名的可执行文件。

c.最终在远程计算机上运行病毒程序。

/Windows 2000：

首先测定是否存在DCOM RPC漏洞，如果成功发现则进行感染并运行病毒。

7.lsass.exe进程在被攻击过程中可能会被破坏，可能会导致系统重启，并出现一个标题为LSA Shell(Export Version)的是否发送错误报告的选择对话框。

8.打开任意选定的端口，在此等待引入的连接，并运行自带的SMTP服务器，在感染的计算机上进行垃圾邮件的转发操作。

其他

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%program files%一般为C:\\program files;

%Temp%一般为C:\\Windows\\Temp 或 C:\\Documents and

Settings\\<当前用户>\\Local Settings\\Temp；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。