词条 | Backdoor/LeakerBot.o |
释义 | Backdoor/LeakerBot.o 病毒长度:138,752 bytes ,变长 病毒类型:后门 危害等级:** 影响平台:Win2000/XP/NT Backdoor/LeakerBot.o通过网络共享和微软漏洞进行传播,此外还利用Beagle和Mydoom蠕虫打开的后门进行传播。此病毒作为一个后门服务程序对系统发动攻击,并终止一些反病毒和安全软件相关的进程。 利用的微软漏洞包括: MS03-026:DCOM RPC漏洞 MS03-049:Workstation service缓冲区溢出漏洞 MS04-011:LSASS漏洞 传播过程及特征: 1.复制自身为: %System%\\msiwin84.exe %System%\\Microsoft.exe %System%\\WinMsrv32.exe %System%\\soundcontrl.exe %System%\\msawindows.exe 2.修改注册表: 添加下列键值: "Microsoft Update"="msiwin84.exe" "Microsoft Update"="Microsoft.exe" "WinMsrv32"="WinMsrv32.exe" "soundcontrl"="soundcontrl.exe" "Microsoft Update"="msawindows.exe" 到注册表启动项: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices 3.修改%System%\\drivers\\etc\\hosts文件,添加127.0.0.1 www.mcafee.com类信息,导致用户访问一些网站失败,一般都是反病毒类网站。 4.试图终止下列进程: irun4.exe Ssate.exe i11r54n4.exe winsys.exessgrate.exe d3dupdate.exe bbeagle.exerate.exe 5.发送包含大量数据的HTTP POST信息到一些特定的host,每条POST信息250 KB左右。 6.打开随机选择的TCP端口进行连接,并发送病毒副本文件到此端口。 7.连接远程IRC服务器,在此等待攻击者发出的命令,并允许攻击者在感染病毒的计算机上有下列操作: 执行命令 通过FTP和HTTP搜索文件 从注册表中获取数据 重启计算机 列出进程表 结束进程 终止Windows服务 进行HTTP flood, ICMP flood, SYN flood,和UDP flood攻击 从计算机上搜索合法的邮件地址 通过HTTP获取邮件地址表 盗取Windows产品ID号和一些游戏的CD Keys 增加URLSniff HTTP, FTP, 和IRC流量 9.试图利用内置的用户名/密码库和用NetUserEnum()函数得到的用户名获取管理员权限,并复制自身到下列共享进行传播。 c$ d$ e$ print$ admin$ ipc$ 并远程控制病毒执行的时间。 注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt; %System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP)。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。