Backdoor/Norbot.ce

病毒长度：大约 310K

病毒类型：后门

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

Backdoor/Norbot.ce经PE Diminisher压缩，通过弱密码和微软漏洞进行传播,还通过"雏鹰"和"Mydoom"开的后门复制自身进行传播。它允许攻击者通过特定的IRC频道访问感染的计算机。

利用的微软漏洞包括：

MS03-026：DCOM RPC漏洞

MS03-007：WebDav漏洞

MS03-049：Workstation service缓冲区溢出漏洞

MS03-001：Locator service漏洞

MS03-043：Messenger Service缓冲区溢出漏洞

MS01-059：UPnP漏洞

MS02-061：Microsoft SQL Server 2000和MSDE 2000审计漏洞

传播过程及特征：

1.复制自身为：

%System%\\winhlpp32.exe.

%System%\\agp32.exe

%System%\\explored.exe

%System%\etsvcs.exe

%System%\\ascdl.exe

%System%\\regsvc32.exe

2.修改注册表：

/添加键值：

"Symantec Security Routine Addon" = "%System%\\winhlpp32.exe"

"agp" = "agp32.exe"

"Windows Login" = "explored.exe"

"Video Process" = "netsvcs.exe"

"Microsoft Update" = "ascdl.exe"

"Generic Services Process" = "regsvc32.exe"

到注册表启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

/删除注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下的键值：

"Ssate.exe"

"rate.exe"

"d3dupdate.exe"

"TaskMon"

"Explorer"

3.终止反病毒和防火墙软件进程以及下列进程：

irun4.exe

i11r54n4.exe

winsys.exe

bbeagle.exe

taskmon.exe

4.删除文件：

%System%\\irun4.exe

%System%\\i11r54n4.exe

%System%\\winsys.exe

%System%\\bbeagle.exe

%System%\\taskmon.exe

删除服务：pnphost

5.修改 %System%\\drivers\\etc\\hosts文件，导致用户不能访问一些反病毒网站。

6.在随机选择的TCP端口运行FTP服务器。

7.连接到一个IRC服务器，用自己的IRC客户端，做如下操作：

/通过FTP和HTTP下载上传文件

/执行命令

/列出并终止进程

/列出并终止服务

/重起计算机

/发起HTTP flood、ICMP flood、SYN flood、UDP flood攻击

/查找存储在计算机上的邮件地址

/通过HTTP查找邮件地址表

/搜索假设的URL

/吸收HTTP、FTP和IRC流量

/通过向一些站点发送HTTP GET请求来测量被感染计算机的连接速度

/删除一些病毒添加的文件以及注册表键值，并结束它们的相关进程

/盗取Windows的生产ID号和一些视频游戏的CD keys

8.探测下列共享并试图取得共享权限，以达到复制自身到共享目录下进行传播：

c$

d$

e$

print$

admin$

取得共享权限使用的用户名一部分是通过NetUserEnum()函数得到的。