病毒标签：

病毒名称：Backdoor.Win32.IRCBot.st

病毒类型：后门

危害等级：B+

文件长度：9,609 字节

文件MD5：9928a1e6601cf00d0b7826d13fb556f0

公开范围：完全公开

感染系统：Win9x以上所有版本

开发工具：Microsoft Visual C++ 6.0

加壳类型：MEW

病毒描述：

近日来，一种新的BOT蠕虫现身网络，该病毒会利用微软MS06-040高危漏洞进行传播。目前已经有多个变种。修改多处注册表键，用以关闭杀毒软件、防火墙降低系统安全性.

行为分析：

1、病毒运行后会复制自身到以下地址

%SYSTEM32%\\wgareg.exe

2、在 %Windir%\\Debug下释放一个DCPROMO.LOG文件

3、病毒在运行一段时间后会下载一个nrcs.exe（Trojan-Proxy.Win32.Ranky.fv）文件

4、连接IRC地址:bniu.househot.com(58.81.137.157:18067)

port:18067 频道名:#n1 密码:nert4mp1 频道名:#p 密码:无

此域名为动态域名以下是对应的IRC IP列表

IRC IP 61.189.243.240:18067

IRC IP 61.163.231.115:18067

IRC IP 58.81.137.157:18067

IRC IP 222.68.249.164:18067

IRC IP 218.61.146.86:18067

IRC IP 211.154.135.30:18067

IRC IP 202.121.199.200:18067

5、连接服务器的域名:media.pixpond.com(38.119.88.27:80)美国

port:80

下载http://media.pixpond.com/l9rd6g.jpg 拷到本地。重命名文件nrcs.exe

6、创建一个服务

服务名称：Windows Genuine Advantage Registration Service

描述：wgaregEnsures that your copy of Microsoft Windows is genuine and registered.Stopping or disabling this service will result in system instability.

映像路径

c:\\windows\\system32\\wgareg.exe

7、修改多处注册表键，用以关闭杀毒软件、防火墙降低系统安全性.

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Security Center

UpdatesDisableNotify = dword:00000001

AntiVirusDisableNotify = dword:00000001

FirewallDisableNotify = dword:00000001

AntiVirusOverride = dword:00000001

FirewallOverride = dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\lanmanserver\\parameters

AutoShareWks = dword:00000000

AutoShareServer = dword:00000000

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Service　s\\wgareg\\Type=Binary

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\wgareg\\Start=Binary

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\wgareg\\ErrorControl=Binary

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\wgareg\\ImagePath=C:\\WINDOWS

\\system32\\wgareg.exe

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\wgareg\\DisplayName=Windows Genuine Advant

创建服务

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\wgareg\\DisplayName=Windows Genuine Advantage Registration Service

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\wgareg\\Security\\Security=Binary

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\wgareg\\ObjectName=LocalSystem

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\wgareg\\FailureActions=Binary

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\wgareg\\Description=Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole\\EnableDCOM

新键值: 字符串: "N"

原键值: 字符串: "Y"

8、连接到一个IRC服务器，等待恶意者的连接并接受控制，命令说明如下:

IRC命令如：

join 创建或加入闲聊室

Nick 更改别名

QUIT 退出

对目标主机的操作：

下载文件

发起拒绝服务(DDOS)攻击

执行基本的RIC命令

执行系统扫描

9、采用TCP协议，按照31个IP更换一次IP段的方式，扫描系统。

例如：

222.171.159.0

.

.

222.171.159.31

接着扫描

222.4.159.0

.

.

222.4.159.31

然后再扫描

222.171.159.32

.

.

222.171.159.63

接着扫描

222.4.159.32

222.171.159.254

1038

1069

1070

1101

1104

1135

1136

1518　445

445

445

445

445

445

445

445

--------------------------------------------------------------------------------

清除方案 ：

临时解决方案：

1、防火墙处阻止TCP端口:139、445

2、启用TCP/IP筛选功能进行过滤。

如何屏蔽139和445端口

屏蔽139和445端口方法：

一、右击网上邻居选择属性

二、右击本地连接选择属性如图

三、选择internet协议（Tcp/ip）

四、点击高级选择选项

五、选择属性

1、P选项中选择只允许如图

2、选择完之后把本机所需要用的端口添加到上

如本机有ftp和http那么就添加21端口和80端口

选择添加把21和80端口添加进去

如果本机还有其它端口要开可以继续添加

3、使用IPSec来阻止受影响的端口访问。

补丁下载：

中文Windows 2000 Service Pack 4：

http://download.microsoft.com/download/f/2/f/f2f6f032-b0db-459d-9e89-fc0218973e73/Windows2000-KB921883-x86-CHS.EXE

中文Windows XP Service Pack 1 & Service Pack 2：

http://download.microsoft.com/download/3/1/b/31be1ef4-18e0-44a1-bc80-1753b8b43528/WindowsXP-KB921883-x86-CHS.exe

中文Windows Server 2003 & Service Pack 1：

http://download.microsoft.com/download/3/1/e/31e1b295-80cf-47fb-be65-c542a55bc1cd/WindowsServer2003-KB921883-x86-CHS.exe

Windows XP Professional x64 Edition：

http://download.microsoft.com/download/0/f/9/0f9eb45e-cb70-40dd-8506-8cdf226731f7/WindowsServer2003.WindowsXP-KB921883-x64-ENU.exe

注:

危害等级列表如下:

A级 大面积感染流行，并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。

B级 有一定的感染流行面积，或者有鲜明的技术特点值得进一步关注，或为既往A级蠕虫比较成熟的变种

C级 有少量感染流行，或虽然有一定感染流行面积，但是既往B级蠕虫变种。

D级 有极少量感染流行，但有一定潜在威胁。

E级 没有发现感染流行。

附:Trojan-Proxy.Win32.Ranky.fv分析