Backdoor/Norbot.w

病毒长度：大约 280KB

病毒类型：后门

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

Backdoor/Norbot.w试图通过容易破解密码的网络共享进行传播，允许攻击者用一个特定的IRC频道访问被感染的计算机。

利用微软漏洞进行传播，包括：

MS03-026：DCOM RPC漏洞，利用TCP端口135

MS03-007：WebDav漏洞，利用TCP端口80

MS03-049：Workstation service缓冲区溢出漏洞，利用TCP端口445

MS03-043：Messenger Service缓冲区溢出漏洞

MS03-001：Locator service漏洞，利用TCP端口445

MS01-059：UPnP漏洞

MS02-061：Microsoft SQL Server 2000和MSDE 2000审计漏洞，利用UDP端口1434

传播过程及特征：

1.复制自身为：%System%\\svdhost32.exe。

2.修改注册表：

添加键值"Hotfix Updat"="svdhost32.exe"到：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下的下列值：

"Ssate.exe"

"rate.exe"

"d3dupdate.exe"

"TaskMon"

"Explorer"

3.删除文件：

%System%\\irun4.exe

%System%\\i11r54n4.exe

%System%\\winsys.exe

%System%\\bbeagle.exe

%System%\\taskmon.exe

4.删除upnphost系统服务。

5.修改文件%System%\\drivers\\etc\\hosts，导致连接一些网站失败。

6.在随机选择的TCP端口运行FTP服务。

7.连接一个IRC频道等待远程指令，从而允许攻击者执行下列操作：

通过FTP和HTTP下载上传文件

执行命令

重起计算机

列举并结束进程

列举并终止服务

进行HTTP flood、 ICMP flood、 SYN flood、 UDP flood攻击

搜索保存在计算机上的邮件地址

通过HTTP搜索邮件地址

搜索假设的URL

吸收HTTP、FTP和IRC流量

8.通过向一些站点发送HTTP GET请求来测量被感染计算机的连接速度。

9.利用一些蠕虫打开的后门端口进行传播。

10.删除一些病毒添加的文件以及注册表键值，并结束它们的相关进程，还结束一些反病毒和防火墙软件相关的进程。

12.盗取Windows的生产ID号和一些视频游戏的CD keys。

13.利用下列共享复制自身到他人计算机：

c$ d$ e$ print$ admin$

取得共享权限使用的用户名和密码一部分是通过NetUserEnum()函数得到的。