词条 | Backdoor.Win32.IRCBot.st |
释义 | 病毒标签: 病毒名称:Backdoor.Win32.IRCBot.st 病毒类型:后门 危害等级:B+ 文件长度:9,609 字节 文件MD5:9928a1e6601cf00d0b7826d13fb556f0 公开范围:完全公开 感染系统:Win9x以上所有版本 开发工具:Microsoft Visual C++ 6.0 加壳类型:MEW 病毒描述: 近日来,一种新的BOT蠕虫现身网络,该病毒会利用微软MS06-040高危漏洞进行传播。目前已经有多个变种。修改多处注册表键,用以关闭杀毒软件、防火墙降低系统安全性. 行为分析: 1、病毒运行后会复制自身到以下地址 %SYSTEM32%\\wgareg.exe 2、在 %Windir%\\Debug下释放一个DCPROMO.LOG文件 3、病毒在运行一段时间后会下载一个nrcs.exe(Trojan-Proxy.Win32.Ranky.fv)文件 4、连接IRC地址:bniu.househot.com(58.81.137.157:18067) port:18067 频道名:#n1 密码:nert4mp1 频道名:#p 密码:无 此域名为动态域名以下是对应的IRC IP列表 IRC IP 61.189.243.240:18067 IRC IP 61.163.231.115:18067 IRC IP 58.81.137.157:18067 IRC IP 222.68.249.164:18067 IRC IP 218.61.146.86:18067 IRC IP 211.154.135.30:18067 IRC IP 202.121.199.200:18067 5、连接服务器的域名:media.pixpond.com(38.119.88.27:80)美国 port:80 下载http://media.pixpond.com/l9rd6g.jpg 拷到本地。重命名文件nrcs.exe 6、创建一个服务 服务名称:Windows Genuine Advantage Registration Service 描述:wgaregEnsures that your copy of Microsoft Windows is genuine and registered.Stopping or disabling this service will result in system instability. 映像路径 c:\\windows\\system32\\wgareg.exe 7、修改多处注册表键,用以关闭杀毒软件、防火墙降低系统安全性. HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Security Center UpdatesDisableNotify = dword:00000001 AntiVirusDisableNotify = dword:00000001 FirewallDisableNotify = dword:00000001 AntiVirusOverride = dword:00000001 FirewallOverride = dword:00000001 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\lanmanserver\\parameters AutoShareWks = dword:00000000 AutoShareServer = dword:00000000 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Service s\\wgareg\\Type=Binary HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\wgareg\\Start=Binary HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\wgareg\\ErrorControl=Binary HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\wgareg\\ImagePath=C:\\WINDOWS \\system32\\wgareg.exe HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\wgareg\\DisplayName=Windows Genuine Advant 创建服务 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\wgareg\\DisplayName=Windows Genuine Advantage Registration Service HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\wgareg\\Security\\Security=Binary HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\wgareg\\ObjectName=LocalSystem HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\wgareg\\FailureActions=Binary HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\wgareg\\Description=Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability. HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole\\EnableDCOM 新键值: 字符串: "N" 原键值: 字符串: "Y" 8、连接到一个IRC服务器,等待恶意者的连接并接受控制,命令说明如下: IRC命令如: join 创建或加入闲聊室 Nick 更改别名 QUIT 退出 对目标主机的操作: 下载文件 发起拒绝服务(DDOS)攻击 执行基本的RIC命令 执行系统扫描 9、采用TCP协议,按照31个IP更换一次IP段的方式,扫描系统。 例如: 222.171.159.0 . . 222.171.159.31 接着扫描 222.4.159.0 . . 222.4.159.31 然后再扫描 222.171.159.32 . . 222.171.159.63 接着扫描 222.4.159.32 222.171.159.254 1038 1069 1070 1101 1104 1135 1136 1518 445 445 445 445 445 445 445 445 -------------------------------------------------------------------------------- 清除方案 : 临时解决方案: 1、防火墙处阻止TCP端口:139、445 2、启用TCP/IP筛选功能进行过滤。 如何屏蔽139和445端口 屏蔽139和445端口方法: 一、右击网上邻居选择属性 二、右击本地连接选择属性如图 三、选择internet协议(Tcp/ip) 四、点击高级选择选项 五、选择属性 1、P选项中选择只允许如图 2、选择完之后把本机所需要用的端口添加到上 如本机有ftp和http那么就添加21端口和80端口 选择添加把21和80端口添加进去 如果本机还有其它端口要开可以继续添加 3、使用IPSec来阻止受影响的端口访问。 补丁下载: 中文Windows 2000 Service Pack 4: http://download.microsoft.com/download/f/2/f/f2f6f032-b0db-459d-9e89-fc0218973e73/Windows2000-KB921883-x86-CHS.EXE 中文Windows XP Service Pack 1 & Service Pack 2: http://download.microsoft.com/download/3/1/b/31be1ef4-18e0-44a1-bc80-1753b8b43528/WindowsXP-KB921883-x86-CHS.exe 中文Windows Server 2003 & Service Pack 1: http://download.microsoft.com/download/3/1/e/31e1b295-80cf-47fb-be65-c542a55bc1cd/WindowsServer2003-KB921883-x86-CHS.exe Windows XP Professional x64 Edition: http://download.microsoft.com/download/0/f/9/0f9eb45e-cb70-40dd-8506-8cdf226731f7/WindowsServer2003.WindowsXP-KB921883-x64-ENU.exe 注: 危害等级列表如下: A级 大面积感染流行,并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。 B级 有一定的感染流行面积,或者有鲜明的技术特点值得进一步关注,或为既往A级蠕虫比较成熟的变种 C级 有少量感染流行,或虽然有一定感染流行面积,但是既往B级蠕虫变种。 D级 有极少量感染流行,但有一定潜在威胁。 E级 没有发现感染流行。 附:Trojan-Proxy.Win32.Ranky.fv分析 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。