请输入您要查询的百科知识:

 

词条 Backdoor/Norbot.ci
释义

Backdoor/Norbot.ci

病毒长度:

病毒类型:网络蠕虫

危害等级:**

影响平台:Win9X/2000/XP/NT/Me/2003

Backdoor/Norbot.ci经PE Diminisher压缩,通过弱密码和微软漏洞进行传播,允许攻击者通过特定的IRC频道访问感染的计算机。

利用的微软漏洞包括:

MS03-026:DCOM RPC漏洞

MS03-007:WebDav漏洞

MS03-049:Workstation service缓冲区溢出漏洞

MS03-001:Locator service漏洞

传播过程及特征:

1.复制并执行自身:%System%\\regsvc32.exe

2.修改注册表:

添加键值:"Generic Service Process"="regsvc32.exe"

到注册表启动项:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

3.感染系统中运行的进程,成功感染后会隐藏%System%\\regsvc32.exe在进程内,导致每一个新生成的进程在内存中被感染,用户无法发现蠕虫。

4.终止反病毒和防火墙软件进程以及下列进程。

taskmon.exe

bbeagle.exe

d3dupdate.exe

winsys.exe

ssate.exe

i11r54n4.exe

rate.exe

irun4.exe

Ssate.exe

5.修改 %System%\\drivers\\etc\\hosts文件,导致用户不能访问一些反病毒网站。

6.连接到一个IRC服务器,用自己的IRC客户端,做如下操作:

/摄取系统信息

/连接IRC服务器

/连接特定的IRC频道

/发送消息给IRC频道的所有用户

/通过IRC发送系统文件给特定的用户

/下载并执行文件

/盗取系统信息

/收集邮件地址

/盗取各种游戏的CD Key

/连接FTP服务器上传文件

/结束进程

/用SSH连接其它的系统

/作为SOCKS代理服务器进行连接

7.探测下列共享并试图取得共享权限,以达到复制自身到共享目录下进行传播:

c$

d$

e$

print$

admin$

取得共享权限使用的用户名一部分是通过NetUserEnum()函数得到的。

8.如果感染病毒的计算机用户访问了http:/ /www.paypal.com,则病毒会试图通过记录用户在PayPal(网上缴费)时的键击来盗取注册信息。此外它还能盗取AIM(美国在线的即时消息)和AOL(美国在线服务)的注册信息。

注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt;

%Temp%为变量一般为:C:\\Windows\\TEMP (Windows 95/98/Me),

or C:\\WINNT\\Temp (Windows NT/2000), or

C:\\Document and Settings\\<UserName>\\Local

Settings\\Temp (Windows XP);

%System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000), 或

C:\\Windows\\System32 (Windows XP)。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 6:20:06