Backdoor/LeakerBot.p

病毒长度：475,648 bytes

病毒类型：后门

危害等级：*

影响平台：Win2000/XP/NT

Backdoor/LeakerBot.p通过网络共享和微软漏洞进行传播，此外还利用Beagle和Mydoom蠕虫打开的后门以及Optix类病毒安装的后门进行传播。此病毒作为一个后门服务程序对系统发动攻击，并终止一些反病毒和安全软件相关的进程。

利用的微软漏洞包括：

MS03-026：DCOM RPC漏洞

MS03-007：WebDav漏洞

MS03-049：Workstation service缓冲区溢出漏洞

MS01-059：UPnP漏洞

MS02-061：Microsoft SQL Server 2000和MSDE 2000审计漏洞

MS04-011：LSASS漏洞

传播过程及特征：

1.复制自身为：%System%\\hkey.exe。

2.修改注册表：

添加键值："windows"="hkey.exe"到注册表启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

3.修改%System%\\drivers\\etc\\hosts文件，添加127.0.0.1 www.mcafee.com类信息，导致用户访问一些网站失败，一般都是反病毒类网站。

4.盗取Windows产品ID号和一些游戏的CD keys

5.试图终止下列进程：

irun4.exe

Ssate.exe

i11r54n4.exe

winsys.exe

ssgrate.exe

d3dupdate.exe

bbeagle.exe

6.发送包含大量数据的HTTP POST信息到一些特定的host，每条POST信息250 KB左右。

www.ryan1918.net

www.ryan1918.org

www.ryan1918.comyahoo.co.jp

www.nifty.com

www.d1asia.com

www.st.lib.keio.ac.jp

www.lib.nthu.edu.t

wwww.above.net

www.level3.com

nitro.ucsc.edu

www.burst.net

www.cogentco.com

www.rit.edu

www.nocster.com

www.verio.com

www.stanford.edu

www.xo.netde.yahoo.com

www.belwue.de

www.switch.ch

www.1und1.de

verio.fr

www.utwente.nl

www.schlund.net

7.打开随机选择的TCP端口进行连接，并发送病毒副本文件到此端口。

8.连接远程IRC服务器，在此等待攻击者发出的命令，并允许攻击者在感染病毒的计算机上有下列操作：

执行命令

通过FTP和HTTP搜索文件

从注册表中获取数据

重启计算机

列出进程表

结束进程

终止Windows服务

进行HTTP flood, ICMP flood, SYN flood,和UDP flood攻击

从计算机上搜索合法的邮件地址

通过HTTP获取邮件地址表

盗取Windows产品ID号和一些游戏的CD Keys

增加URLSniff HTTP, FTP, 和IRC流量

9.试图利用内置的用户名/密码库和用NetUserEnum()函数得到的用户名获取管理员权限，并复制自身到下列共享进行传播。

c$

d$

e$

print$

admin$

并远程控制病毒执行的时间。