请输入您要查询的百科知识:

 

词条 Backdoor/LeakerBot.o
释义

Backdoor/LeakerBot.o

病毒长度:138,752 bytes ,变长

病毒类型:后门

危害等级:**

影响平台:Win2000/XP/NT

Backdoor/LeakerBot.o通过网络共享和微软漏洞进行传播,此外还利用Beagle和Mydoom蠕虫打开的后门进行传播。此病毒作为一个后门服务程序对系统发动攻击,并终止一些反病毒和安全软件相关的进程。

利用的微软漏洞包括:

MS03-026:DCOM RPC漏洞

MS03-049:Workstation service缓冲区溢出漏洞

MS04-011:LSASS漏洞

传播过程及特征:

1.复制自身为:

%System%\\msiwin84.exe

%System%\\Microsoft.exe

%System%\\WinMsrv32.exe

%System%\\soundcontrl.exe

%System%\\msawindows.exe

2.修改注册表:

添加下列键值:

"Microsoft Update"="msiwin84.exe"

"Microsoft Update"="Microsoft.exe"

"WinMsrv32"="WinMsrv32.exe"

"soundcontrl"="soundcontrl.exe"

"Microsoft Update"="msawindows.exe"

到注册表启动项:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

3.修改%System%\\drivers\\etc\\hosts文件,添加127.0.0.1 www.mcafee.com类信息,导致用户访问一些网站失败,一般都是反病毒类网站。

4.试图终止下列进程:

irun4.exe

Ssate.exe

i11r54n4.exe

winsys.exessgrate.exe

d3dupdate.exe

bbeagle.exerate.exe

5.发送包含大量数据的HTTP POST信息到一些特定的host,每条POST信息250 KB左右。

6.打开随机选择的TCP端口进行连接,并发送病毒副本文件到此端口。

7.连接远程IRC服务器,在此等待攻击者发出的命令,并允许攻击者在感染病毒的计算机上有下列操作:

执行命令

通过FTP和HTTP搜索文件

从注册表中获取数据

重启计算机

列出进程表

结束进程

终止Windows服务

进行HTTP flood, ICMP flood, SYN flood,和UDP flood攻击

从计算机上搜索合法的邮件地址

通过HTTP获取邮件地址表

盗取Windows产品ID号和一些游戏的CD Keys

增加URLSniff HTTP, FTP, 和IRC流量

9.试图利用内置的用户名/密码库和用NetUserEnum()函数得到的用户名获取管理员权限,并复制自身到下列共享进行传播。

c$

d$

e$

print$

admin$

ipc$

并远程控制病毒执行的时间。

注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt;

%System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000), 或

C:\\Windows\\System32 (Windows XP)。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/24 7:05:06