“蠕虫病毒Win32.Duiskbot.AH”的意思、由来-中文百科全书

其它名称

W32.Randex.GEL (Symantec), Backdoor.Win32.SdBot.bcm (Kaspersky), W32/Sdbot.VUF (F-Secure), W32/Vanebot-AB (Sophos)

具体介绍

病毒特性

Win32/Duiskbot.AH是一种IRC控制的蠕虫，通过攻击Server Service中的一个漏洞进行传播。它还可能发送一个包含蠕虫下载链接的即时消息。

感染方式

运行时，Win32/Duiskbot.AH复制到%System%\\dllcache\\snchost.exe，这个文件是只读的隐含文件，并作为一个服务注册这个文件，为了在每次系统启动时运行病毒：

Service name: Microsoft Agent

Display name: Microsoft Agent

Description: Enable Microsoft Agent Service.

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32； 95，98 和 ME 的是C:\\Windows\\System； XP 的是C:\\Windows\\System32。

它尝试删除原始的副本，如果失败就会在系统重启时立即删除。

传播方式

通过漏洞传播

为了传播，蠕虫在某些端口探测潜在的机器。它通过IRC控制的后门接受命令。蠕虫可能尝试通过以下进行传播：

§ MS SQL (TCP 1433端口) - 针对"sa", "root" 或 "admin" 帐户通过弱口令攻击

§ Microsoft Windows Server service buffer overflow vulnerability (TCP 139端口)。

请到以下站点下载相关的系统补丁：

http://www.microsoft.com/china/technet/security/Bulletin/MS06-040.mspx

Duiskbot.AH尝试使用以下弱口令：

00000000

0000000

000000

00000

0000

000

123

1234

12345

123456

1234567

12345678

123456789

abc123

access

adm

admin

alpha

anon

anonymous

asdfgh

backdoor

backup

beta

bin

coffee

computer

crew

database

debug

default

demo

free

guest

hello

install

internet

mail

manager

money

monitor

network

newpass

nick

nobody

nopass

one

oracle

pass

passwd

password

poiuytre

private

pub

public

qwerty

random

real

remote

root

ruler

secret

secure

security

server

setup

shadow

shit

sql

super

sys

system

telnet

temp

test

test1

test2

visitor

web

windows

www

默认的操作是探查系统，以被感染机器的IP地址前两位开始，第三字节和第四字节依次测试所有值。蠕虫的控制者还会指定其它的IP地址范围。

如果攻击成功，Duiskbot.AH尝试执行以下操作（当攻击RealVNC漏洞时，蠕虫只执行第三种操作）：

使存在漏洞系统的反病毒软件的服务失效（包括Norton, McAfee 和 Panda）；

将代码写入C:\\1.vbs文件，运行代码，随后删除这个文件。这个代码从HTTP服务器下载一个Duiskbot.AH 病毒副本，并在原始的被感染系统上运行，随后运行这个下载的文件；

如果上一步没有成功，就会将一些FTP命令写入%System%\\x文件，使用FTP 运行这些命令（从一个FTP服务器下载一个Duiskbot.AH 病毒副本在原始的被感染系统上运行），随后运行下载的文件并删除%System%\\x文件。

Duiskbot.AH可能被指示通过即时消息客户端（例如Yahoo! Messenger，MSN Messenger，ICQ 或 AOL Instant Messenger）进行传播。如果被指令，Duiskbot.AH就会发送信息连接到一个恶意的链接。通过一个HTTP服务器，Duiskbot.AH可能回应一个HTML页面。当存在漏洞的机器使用Internet Explorer浏览一个恶意页面的时候，蠕虫的副本将从攻击主机下载到存在漏洞的机器上，并运行它。

危害

后门功能

Duiskbot.AH包含后门功能，允许未经授权的访问并控制被感染的机器。它通过IRC被控制，在3921端口连接到rot.askum.net服务器。

利用这个后门，攻击者可能执行以下操作：

命令

操作

reconnect 从IRC server 断开后再连接。

join 加入另一个IRC channel。

part 离开特定的IRC channel。

remove 从系统删除Duiskbot的服务和文件。

nickupd 生成一个新的nickname。

scan 开始扫描网络寻找存在漏洞的系统来分发病毒。

scanstop 停止扫描存在漏洞的系统。

pstore 从被保护的存储区获取信息。

downlow 下载（并随意运行）一个任意文件，保存到特定的位置。

upd 下载并运行Duiskbot 的一个新版本，并删除当前版本。

xplstats 记录被攻击系统的数量统计。

httpstop 停止执行一个HTTP拒绝服务攻击。

httpdos 执行一个HTTP拒绝服务攻击。

syn 执行一个SYN拒绝服务攻击。

synstop 停止执行一个SYN拒绝服务攻击。

kill 从IRC服务器断开并退出。

socks4 启动一个SOCKS 4 代理。

imspread 尝试通过即时消息传播。

imstop 停止尝试通过即时消息传播。

运行Web和FTP服务器

Duiskbot.AH在被感染机器上的任意一个端口运行一个Web服务器和一个FTP服务器。攻击系统可能从这些服务器下载蠕虫的副本。

清除

KILL安全胄甲Vet 30.3.3296版本可检测/清除此病毒。

词条	蠕虫病毒Win32.Duiskbot.AH
释义	Win32/Duiskbot.AH是一种IRC控制的蠕虫，通过攻击Server Service中的一个漏洞进行传播。它还可能发送一个包含蠕虫下载链接的即时消息。运行时，Win32/Duiskbot.AH复制到%System%\\dllcache\\snchost.exe，这个文件是只读的隐含文件，并作为一个服务注册这个文件,它尝试删除原始的副本，如果失败就会在系统重启时立即删除。其它名称病毒属性危害性流行程度具体介绍(病毒特性感染方式) 传播方式(通过漏洞传播通过Instant Messenger传播) 危害清除其它名称 W32.Randex.GEL (Symantec), Backdoor.Win32.SdBot.bcm (Kaspersky), W32/Sdbot.VUF (F-Secure), W32/Vanebot-AB (Sophos) 病毒属性蠕虫病毒危害性中等危害流行程度中具体介绍病毒特性 Win32/Duiskbot.AH是一种IRC控制的蠕虫，通过攻击Server Service中的一个漏洞进行传播。它还可能发送一个包含蠕虫下载链接的即时消息。感染方式运行时，Win32/Duiskbot.AH复制到%System%\\dllcache\\snchost.exe，这个文件是只读的隐含文件，并作为一个服务注册这个文件，为了在每次系统启动时运行病毒： Service name: Microsoft Agent Display name: Microsoft Agent Description: Enable Microsoft Agent Service. 注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32； 95，98 和 ME 的是C:\\Windows\\System； XP 的是C:\\Windows\\System32。它尝试删除原始的副本，如果失败就会在系统重启时立即删除。传播方式通过漏洞传播为了传播，蠕虫在某些端口探测潜在的机器。它通过IRC控制的后门接受命令。蠕虫可能尝试通过以下进行传播： § MS SQL (TCP 1433端口) - 针对"sa", "root" 或 "admin" 帐户通过弱口令攻击 § Microsoft Windows Server service buffer overflow vulnerability (TCP 139端口)。请到以下站点下载相关的系统补丁： http://www.microsoft.com/china/technet/security/Bulletin/MS06-040.mspx Duiskbot.AH尝试使用以下弱口令： 00000000 0000000 000000 00000 0000 000 00 12 123 1234 12345 123456 1234567 12345678 123456789 abc123 access adm admin alpha anon anonymous asdfgh backdoor backup beta bin coffee computer crew database debug default demo free go guest hello install internet login mail manager money monitor network newpass nick nobody nopass one oracle pass passwd password poiuytre private pub public qwerty random real remote root ruler secret secure security server setup shadow shit sql super sys system telnet temp test test1 test2 visitor web windows www 默认的操作是探查系统，以被感染机器的IP地址前两位开始，第三字节和第四字节依次测试所有值。蠕虫的控制者还会指定其它的IP地址范围。如果攻击成功，Duiskbot.AH尝试执行以下操作（当攻击RealVNC漏洞时，蠕虫只执行第三种操作）：使存在漏洞系统的反病毒软件的服务失效（包括Norton, McAfee 和 Panda）；将代码写入C:\\1.vbs文件，运行代码，随后删除这个文件。这个代码从HTTP服务器下载一个Duiskbot.AH 病毒副本，并在原始的被感染系统上运行，随后运行这个下载的文件；如果上一步没有成功，就会将一些FTP命令写入%System%\\x文件，使用FTP 运行这些命令（从一个FTP服务器下载一个Duiskbot.AH 病毒副本在原始的被感染系统上运行），随后运行下载的文件并删除%System%\\x文件。通过Instant Messenger传播 Duiskbot.AH可能被指示通过即时消息客户端（例如Yahoo! Messenger，MSN Messenger，ICQ 或 AOL Instant Messenger）进行传播。如果被指令，Duiskbot.AH就会发送信息连接到一个恶意的链接。通过一个HTTP服务器，Duiskbot.AH可能回应一个HTML页面。当存在漏洞的机器使用Internet Explorer浏览一个恶意页面的时候，蠕虫的副本将从攻击主机下载到存在漏洞的机器上，并运行它。危害后门功能 Duiskbot.AH包含后门功能，允许未经授权的访问并控制被感染的机器。它通过IRC被控制，在3921端口连接到rot.askum.net服务器。利用这个后门，攻击者可能执行以下操作：命令操作 reconnect 从IRC server 断开后再连接。 join 加入另一个IRC channel。 part 离开特定的IRC channel。 remove 从系统删除Duiskbot的服务和文件。 nickupd 生成一个新的nickname。 scan 开始扫描网络寻找存在漏洞的系统来分发病毒。 scanstop 停止扫描存在漏洞的系统。 pstore 从被保护的存储区获取信息。 downlow 下载（并随意运行）一个任意文件，保存到特定的位置。 upd 下载并运行Duiskbot 的一个新版本，并删除当前版本。 xplstats 记录被攻击系统的数量统计。 httpstop 停止执行一个HTTP拒绝服务攻击。 httpdos 执行一个HTTP拒绝服务攻击。 syn 执行一个SYN拒绝服务攻击。 synstop 停止执行一个SYN拒绝服务攻击。 kill 从IRC服务器断开并退出。 socks4 启动一个SOCKS 4 代理。 imspread 尝试通过即时消息传播。 imstop 停止尝试通过即时消息传播。运行Web和FTP服务器 Duiskbot.AH在被感染机器上的任意一个端口运行一个Web服务器和一个FTP服务器。攻击系统可能从这些服务器下载蠕虫的副本。清除 KILL安全胄甲Vet 30.3.3296版本可检测/清除此病毒。
随便看	多裂杜鹃多裂复叶耳蕨多裂黄檀多裂金盏苣苔多裂骆驼蓬多裂南星多裂蒲公英多裂千里光多裂委陵菜多裂委陵莱多裂叶芥多裂叶荆芥多裂叶水芹多琳之美多林·戈扬多林·戈伊安多林卡多林乡多林镇多磷酸铵多鳞白甲鱼多鳞铲颌鱼多鳞刺鳑鲏多鳞杜鹃多鳞口蘑