“蠕虫病毒Win32.Petribot.AMJ”的意思、由来-中文百科全书

简介

病毒名称：蠕虫病毒Win32.Petribot.AMJ

其它名称：W32/SDBot.WFF (F-Secure), WORM_SDBOT.WIE (Trend), W32/Sdbot-DFJ (Sophos) , Backdoor.Win32.SdBot.bhk (Kaspersky), Trojan:Win32/Ircbrute!162A (MS OneCare)

病毒属性：蠕虫病毒危害性：中等危害流行程度：中

具体介绍：

感染方式

运行时，Win32/Petribot.AMJ 复制"regent.exe"到%Windows% 目录，并作为一个服务安装，为了在每次系统启动时自动运行病毒。服务有以下特征：

Service name: Register Manager

Display name: Register Manager

Path to executable: %Windows%\\regent.exe

Startup type: Automatic

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Shell Extensions\\ = "%Windows%\\regent.exe"

注：'%Windows %'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt； 95，98 和 ME 的是C:\\Windows； XP 的是C:\\Windows。

这个变体还会生成以下注册表，为了储存它自己使用的数据：

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Shell Extensions\\12

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Shell Extensions\\13

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Shell Extensions\\14 = ""

传播方式

通过漏洞传播

Win32/Petribot.AMJ通过攻击以下系统漏洞和第三方软件漏洞进行传播：

Microsoft Windows LSASS buffer overflow vulnerability (TCP 445端口)

Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP 135, 445端口)

Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank 'sa' password vulnerability (TCP 1433端口)

Win32/Petribot.AMJ 通过Windows 文件共享感染远程机器。它通过探测TCP 139 和 445端口扫描目标机器。如果它能够连接这两个端口的任意一个，它就会连接Windows 共享：

\\\\\\ipc$

这里的是病毒尝试感染的机器名。

如果连接成功，它就会尝试获取目标机器的用户名列表，随后使用这些用户名访问系统。如果它不能获取用户名列表，它就会尝试使用以下用户名：

administrator

administrador

administrateur

administrat

admins

admin

staff

root

computer

owner

student

teacher

wwwadmin

guest

default

database

dba

oracle

db2

蠕虫尝试复制到以下位置：

Admin$

Admin$\\system32

c$\\winnt\\system32

c$\\windows\\system32

d$\\winnt\\system32

d$\\windows\\system32c$\\

d$\\

e$\\

f$\\

g$\\

h$\\

IPC$

如果成功连接，蠕虫就会复制到目标机器，并安排一个远程任务，在目标机器上运行蠕虫的副本。

危害

后门功能（端口：可变的）

Win32/Petribot.AMJ包含后门功能，允许未经授权的访问，并控制被感染机器。它通过IRC控制，连接到不同的服务器、端口和信道。利用后门，Petribot.AMJ的控制者可能执行以下操作：

列出并停止线程；

获取mIRC 信息，并控制mIRC；

添加/删除/读取注册表键值；

从注册表获取HTTP Mail 和 POP3 mail 的帐户名；

获取系统信息(例如：驱动器，内存，IP地址，用户名等)；

添加/删除/运行文件；

浏览驱动器/目录；

通过FTP下载/上传文件；

执行DNS 查询；

在其它的IRC host/channel 上启动slave bots；

列出/终止进程；

获取 bot 版本/状况；

改变端口；

在任意端口启动一个SOCKS proxy ；

在TCP或UDP端口探测信息包来监控机器的网络流量；

退出bot ；

将IRC 信息加密；

扫描IP地址段的机器漏洞进行攻击；

启动DoS 攻击(Denial of Service)，例如UDP flood, ICMP flood 和 ACK flood。

其它信息

清除：

KILL安全胄甲Vet 30.7.3717版本可检测/清除此病毒。

词条	蠕虫病毒Win32.Petribot.AMJ
释义	Win32/Petribot.AMJ是一种IRC控制后门的蠕虫，能够未经授权的访问被感染机器。它会通过很多不同的软件漏洞并利用弱口令进入默认共享进行传播。它是大小为515,584字节的 Win32 可运行程序。简介感染方式传播方式危害简介病毒名称：蠕虫病毒Win32.Petribot.AMJ 其它名称：W32/SDBot.WFF (F-Secure), WORM_SDBOT.WIE (Trend), W32/Sdbot-DFJ (Sophos) , Backdoor.Win32.SdBot.bhk (Kaspersky), Trojan:Win32/Ircbrute!162A (MS OneCare) 病毒属性：蠕虫病毒危害性：中等危害流行程度：中具体介绍：感染方式运行时，Win32/Petribot.AMJ 复制"regent.exe"到%Windows% 目录，并作为一个服务安装，为了在每次系统启动时自动运行病毒。服务有以下特征： Service name: Register Manager Display name: Register Manager Path to executable: %Windows%\\regent.exe Startup type: Automatic HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Shell Extensions\\ = "%Windows%\\regent.exe" 注：'%Windows %'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt； 95，98 和 ME 的是C:\\Windows； XP 的是C:\\Windows。这个变体还会生成以下注册表，为了储存它自己使用的数据： HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Shell Extensions\\12 HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Shell Extensions\\13 HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Shell Extensions\\14 = "" 传播方式通过漏洞传播 Win32/Petribot.AMJ通过攻击以下系统漏洞和第三方软件漏洞进行传播： Microsoft Windows LSASS buffer overflow vulnerability (TCP 445端口) Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP 135, 445端口) Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank 'sa' password vulnerability (TCP 1433端口) Win32/Petribot.AMJ 通过Windows 文件共享感染远程机器。它通过探测TCP 139 和 445端口扫描目标机器。如果它能够连接这两个端口的任意一个，它就会连接Windows 共享： \\\\\\ipc$ 这里的是病毒尝试感染的机器名。如果连接成功，它就会尝试获取目标机器的用户名列表，随后使用这些用户名访问系统。如果它不能获取用户名列表，它就会尝试使用以下用户名： administrator administrador administrateur administrat admins admin staff root computer owner student teacher wwwadmin guest default database dba oracle db2 蠕虫尝试复制到以下位置： Admin$ Admin$\\system32 c$\\winnt\\system32 c$\\windows\\system32 d$\\winnt\\system32 d$\\windows\\system32c$\\ d$\\ e$\\ f$\\ g$\\ h$\\ IPC$ 如果成功连接，蠕虫就会复制到目标机器，并安排一个远程任务，在目标机器上运行蠕虫的副本。危害后门功能（端口：可变的） Win32/Petribot.AMJ包含后门功能，允许未经授权的访问，并控制被感染机器。它通过IRC控制，连接到不同的服务器、端口和信道。利用后门，Petribot.AMJ的控制者可能执行以下操作：列出并停止线程；获取mIRC 信息，并控制mIRC；添加/删除/读取注册表键值；从注册表获取HTTP Mail 和 POP3 mail 的帐户名；获取系统信息(例如：驱动器，内存，IP地址，用户名等)；添加/删除/运行文件；浏览驱动器/目录；通过FTP下载/上传文件；执行DNS 查询；在其它的IRC host/channel 上启动slave bots；列出/终止进程；获取 bot 版本/状况；改变端口；在任意端口启动一个SOCKS proxy ；在TCP或UDP端口探测信息包来监控机器的网络流量；退出bot ；将IRC 信息加密；扫描IP地址段的机器漏洞进行攻击；启动DoS 攻击(Denial of Service)，例如UDP flood, ICMP flood 和 ACK flood。其它信息清除： KILL安全胄甲Vet 30.7.3717版本可检测/清除此病毒。
随便看	刘家海刘家海子村刘家豪刘家禾刘家和刘家河刘家河村刘家河商代墓刘家河商墓刘家河乡刘家河站刘家河镇刘家河中学刘家洪刘家宏刘家后山刘家华刘家荒村刘家煌刘家辉刘家会村刘家会镇刘家集烈士陵园刘家集乡刘家杰