Backdoor/Norbot.af

病毒长度：98,304 bytes

病毒类型：后门

危害等级：*

影响平台：Win2000/XP/NT/2003

Backdoor/Norbot.af试图通过容易破解密码的网络共享进行传播，允许攻击者用一个特定的IRC频道访问被感染的计算机。此病毒经UPX压缩过。

利用微软漏洞进行传播，包括：

MS03-026：DCOM RPC漏洞，利用TCP端口135

MS03-007：WebDav漏洞，利用TCP端口80

MS03-049：Workstation service缓冲区溢出漏洞，利用TCP端口445

MS03-001：RPC漏洞，利用TCP端口445

传播过程及特征：

1.复制自身为：%System%\\hallowelt.exe，并执行此文件。

2.修改注册表：

添加键值："yeahdude.exe"="hallowelt.exe"到注册表启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

3.删除一些病毒添加的文件以及注册表键值，并结束它们的相关进程，还结束一些反病毒和防火墙软件相关的进程。

4.在计算机的hosts文件里添加一些如127.0.0.1 www.mcafee.com的项目，导致用户不能访问某些站点。

5.连接一个特定的IRC频道利用自己的IRC客户端监听远程指令，从而允许攻击者远程控制计算机执行下列操作：

下载并执行文件

盗取系统信息

获取邮件地址

盗取各种游戏的CD Keys

6.探测下列共享并试图取得共享权限，成功后便复制自身到目标计算机：

c$ d$ e$ print$ admin$

取得共享权限使用的用户名和密码一部分是通过NetUserEnum()函数得到的。