词条 | Backdoor/Norbot.w |
释义 | Backdoor/Norbot.w 病毒长度:大约 280KB 病毒类型:后门 危害等级:** 影响平台:Win9X/2000/XP/NT/Me/2003 Backdoor/Norbot.w试图通过容易破解密码的网络共享进行传播,允许攻击者用一个特定的IRC频道访问被感染的计算机。 利用微软漏洞进行传播,包括: MS03-026:DCOM RPC漏洞,利用TCP端口135 MS03-007:WebDav漏洞,利用TCP端口80 MS03-049:Workstation service缓冲区溢出漏洞,利用TCP端口445 MS03-043:Messenger Service缓冲区溢出漏洞 MS03-001:Locator service漏洞,利用TCP端口445 MS01-059:UPnP漏洞 MS02-061:Microsoft SQL Server 2000和MSDE 2000审计漏洞,利用UDP端口1434 传播过程及特征: 1.复制自身为:%System%\\svdhost32.exe。 2.修改注册表: 添加键值"Hotfix Updat"="svdhost32.exe"到: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices 删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下的下列值: "Ssate.exe" "rate.exe" "d3dupdate.exe" "TaskMon" "Explorer" 3.删除文件: %System%\\irun4.exe %System%\\i11r54n4.exe %System%\\winsys.exe %System%\\bbeagle.exe %System%\\taskmon.exe 4.删除upnphost系统服务。 5.修改文件%System%\\drivers\\etc\\hosts,导致连接一些网站失败。 6.在随机选择的TCP端口运行FTP服务。 7.连接一个IRC频道等待远程指令,从而允许攻击者执行下列操作: 通过FTP和HTTP下载上传文件 执行命令 重起计算机 列举并结束进程 列举并终止服务 进行HTTP flood、 ICMP flood、 SYN flood、 UDP flood攻击 搜索保存在计算机上的邮件地址 通过HTTP搜索邮件地址 搜索假设的URL 吸收HTTP、FTP和IRC流量 8.通过向一些站点发送HTTP GET请求来测量被感染计算机的连接速度。 9.利用一些蠕虫打开的后门端口进行传播。 10.删除一些病毒添加的文件以及注册表键值,并结束它们的相关进程,还结束一些反病毒和防火墙软件相关的进程。 12.盗取Windows的生产ID号和一些视频游戏的CD keys。 13.利用下列共享复制自身到他人计算机: c$ d$ e$ print$ admin$ 取得共享权限使用的用户名和密码一部分是通过NetUserEnum()函数得到的。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。