请输入您要查询的百科知识:

 

词条 TrojanProxy.Bobax.c
释义

简介

TrojanProxy.Bobax.c

病毒长度:22,528 字节

病毒类型:代理木马

危害等级:**

影响平台:Win2000/XP

TrojanProxy.Bobax.c在端口445和135利用LSASS漏洞和DCOM RPC漏洞进行传播,感染的计算机转发邮件传播,并允许攻击者未经授权随意访问,可能会导致机器重启。

传播过程及特征

1.复制自身为:

%System%\\<任意字符>.exe

2.修改注册表:

添加键值:"<任意字符>" = "%System%\\<任意字符>.exe"

到注册表:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

3.试图删除临时文件夹%temp%下文件名以“ ~ ”开头的所有文件。

在临时文件夹%temp%下生成.tmp文件,此文件实质上是包含木马的.dll文件。

4.将.dll文件嵌入Explorer.exe并结束<任意字符>.exe

5.从不同的站点下载文件用来测试网络连接速度,此外它会选择有唯一ID的远程web服务器进行连接感染,成功后发送系统信息进行通告,然后病毒会发出激活指令响应,导致有如下操作:

发送垃圾邮件

发送系统信息给作者

停止/重启扫描程序

下载/运行特定可执行程序

进行自我更新

6.对随机产生的IP地址进行扫描,试图连接TCP端口5000。并测定目标系统是否存在LSASS漏洞和DCOM RPC漏洞:

/Windows XP:

a.在TCP端口445发送shell命令,试图发现LSASS漏洞,如果没有则在TCP端口135测定是否有DCOM RPC漏洞。

b.一旦发现可利用的漏洞,便强制性的通过HTTP在任意端口与远程计算机取得连接并下载病毒程序,同时保存为Svc.exe或具有.gif扩展名的可执行文件。

c.最终在远程计算机上运行病毒程序。

/Windows 2000:

首先测定是否存在DCOM RPC漏洞,如果成功发现则进行感染并运行病毒。

7.lsass.exe进程在被攻击过程中可能会被破坏,可能会导致系统重启,并出现一个标题为LSA Shell(Export Version)的是否发送错误报告的选择对话框。

8.打开任意选定的端口,在此等待引入的连接,并运行自带的SMTP服务器,在感染的计算机上进行垃圾邮件的转发操作。

其他

注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt;

%program files%一般为C:\\program files;

%Temp%一般为C:\\Windows\\Temp 或 C:\\Documents and

Settings\\<当前用户>\\Local Settings\\Temp;

%System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/20 23:40:28