词条 | TrojanProxy.Bobax.c |
释义 | 简介TrojanProxy.Bobax.c 病毒长度:22,528 字节 病毒类型:代理木马 危害等级:** 影响平台:Win2000/XP TrojanProxy.Bobax.c在端口445和135利用LSASS漏洞和DCOM RPC漏洞进行传播,感染的计算机转发邮件传播,并允许攻击者未经授权随意访问,可能会导致机器重启。 传播过程及特征1.复制自身为: %System%\\<任意字符>.exe 2.修改注册表: 添加键值:"<任意字符>" = "%System%\\<任意字符>.exe" 到注册表: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices 3.试图删除临时文件夹%temp%下文件名以“ ~ ”开头的所有文件。 在临时文件夹%temp%下生成.tmp文件,此文件实质上是包含木马的.dll文件。 4.将.dll文件嵌入Explorer.exe并结束<任意字符>.exe 5.从不同的站点下载文件用来测试网络连接速度,此外它会选择有唯一ID的远程web服务器进行连接感染,成功后发送系统信息进行通告,然后病毒会发出激活指令响应,导致有如下操作: 发送垃圾邮件 发送系统信息给作者 停止/重启扫描程序 下载/运行特定可执行程序 进行自我更新 6.对随机产生的IP地址进行扫描,试图连接TCP端口5000。并测定目标系统是否存在LSASS漏洞和DCOM RPC漏洞: /Windows XP: a.在TCP端口445发送shell命令,试图发现LSASS漏洞,如果没有则在TCP端口135测定是否有DCOM RPC漏洞。 b.一旦发现可利用的漏洞,便强制性的通过HTTP在任意端口与远程计算机取得连接并下载病毒程序,同时保存为Svc.exe或具有.gif扩展名的可执行文件。 c.最终在远程计算机上运行病毒程序。 /Windows 2000: 首先测定是否存在DCOM RPC漏洞,如果成功发现则进行感染并运行病毒。 7.lsass.exe进程在被攻击过程中可能会被破坏,可能会导致系统重启,并出现一个标题为LSA Shell(Export Version)的是否发送错误报告的选择对话框。 8.打开任意选定的端口,在此等待引入的连接,并运行自带的SMTP服务器,在感染的计算机上进行垃圾邮件的转发操作。 其他注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt; %program files%一般为C:\\program files; %Temp%一般为C:\\Windows\\Temp 或 C:\\Documents and Settings\\<当前用户>\\Local Settings\\Temp; %System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP)。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。