词条 | Backdoor/Spyboter.ap |
释义 | Backdoor/Spyboter.ap 病毒长度:变长 病毒类型:木马 危害等级:* 影响平台:Win9X/2000/XP/NT/Me Backdoor/Spyboter.ap使木马作者完全控制受感染的计算机,利用DCOM RPC漏洞进行传播。此木马是一些批处理文件、脚本文件及执行文件的集合,也是一种黑客工具,文件名及功能都是可以变化的。 传播过程及特征: 1.生成文件夹:C:\\RECYCLER\\S-1-5-21-57989841-1715567821-725345543-1004\\LOGS,并在此目录下复制文件Bot.rar。 2.将WinOLE.exe(mIRC客户端程序补丁)作为一项服务运行,并通过注册表HKEY_LOCAL_MACHIN\\Software\\Classes挂钩于IRC扩展名的文件,达到一开始运行聊天工具便调用WinOLE.exe文件的目的。 3.运行下列文件: Dhcpp.exe --- TFTP服务 Nctl.exe --- FTP服务 Eeents.exe --- IRC代理服务 4.修改注册表: /设注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\TFTPD32 下的键值为: "BaseDirectory"="C:\\RECYCLER\\S-1-5-21-57989841-1715567821-725345543-1004\\LOGS" "TftpPort"="00000045" "Hide"="00000001" "WinSize"="00000000" "Negociate"="00000000" "DirText"="00000000" "ShowProgressBar"="00000000" "Timeout"="00000003" "MaxRetransmit"="00000006" "SecurityLevel"="00000000" "UnixStrings"="00000000" "LocalIP"="" "Beep"="00000000" "VirtualRoot"="00000000" "Services"="00000003" "TftpLogFile"="" "SaveSyslogFile"="" /设注册表:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W3SVC\\Parameters 下的键值为:"DisableWebDAV"="00000001" /设注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole 下的键值为: "EnableDCOM"="N" "EnableRemoteConnect"="N" 4.连接特定的IRC服务器并加入一个频道,在此监听木马作者发出的指令。利用DCOM RPC漏洞,通过连接随机产生的IP地址找到目标计算机进行监听其TCP 端口135,一旦成功它便开始向目标计算机传输数据,并创建文件夹C:\\RECYCLER\\S-1-5-21-57989841-1715567821-725345543-1004\\LOGS ,然后在此目录下利用TFTP引入木马组件bot.rar,unrar.bat和unrar.exe,并运行木马自身。 注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt; %Program Files%一般为C:\\Program Files; %Temp%一般为C:\\Windows\\Temp 或 C:\\Documents and Settings\\<current user>\\Local Settings\\Temp; %System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP)。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。