请输入您要查询的百科知识:

 

词条 Backdoor.Win32.IRCbot.ace
释义

该病毒运行后,衍生病毒文件到系统目录下,添加注册表自动运行项以跟随系统引导病毒体。病毒体从指定服务器下载病毒体到本机运行,连接 IRC 服务器等待接收指令。枚举本地网络地址,对目的地址 135 端口进行扫描予以溢出。此病毒可通过网络共享、弱口令传播。

病毒信息

病毒名称: Backdoor.Win32.IRCbot.ace

中文名称: IRC后门

病毒类型: 后门类

文件 MD5: AE08FBD92E55036EDC296D5BF99B5700

公开范围: 完全公开

危害等级: 4

文件长度: 73,317 字节

感染系统: WinNT以上系统

开发工具: Microsoft Visual C++ 6.0

加壳类型: Krypton 0.5变形壳

行为分析

1 、复制自身到 %system32% 文件夹下,并按内置列表随机重新命名。

内置列表:

winamp.exe

winIogon.exe

firewall.exe

spooIsv.exe

spoolsvc.exe

Isass.exe

lssas.exe

algs.exe

logon.exe

iexplore.exe

csrs.exe

2 、新建注册表键值:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

键值:字串: "Windows Logon Application"="C:\\WINDOWS\\System32\\( 病毒名 )"

3 、衍生自删除 bat 文件在当前路径下,并调用删除自身, bat 文件名为随机生成。

4 、 IRC 服务器名:

5 、加入的 IRC 频道名:

频道名: #last

频道名: #rs2

用户名:随机

密码:空

6 、 IRC 服务端可响应下列命令:

nick :设置昵称

quit :退出

join :加入一个频道

open :

user: 设置用户名

unkuser %s %s %s :%s

pass: 设置口令

notice %S privmsg %s:

privmsg %s

notice %s :privmsg %s :

message

send

ping: 服务端向客户端发送 ping 命令

pong: 客户端回应 pong 命令

dcc send %s (%s): 传送文件

get /%s http/1.0\\host: %s\\\\

mode %s +smntu :修改频道或用户模式

mode %s +xi001mode %s +smntu

userhost %smode %s +xi001mode %s +smntu

userhost %smode %s +xi001mode %s +smntu

451userhost %smode %s +xi001mode %s +smntu

302451userhost %smode %s +xi001mode %s +smntu

// 扫描命令模式

-x 3 2000 fh 1024 jan 1 0:00 .\\drwxr-xr-x 3 2000 fh 1024 jan 1 0:00 ..

\\-rwxr-xr-x 3 2000 fh %u jan 1 0:00 %s\\

226 -\\-x 3 2000 fh 1024 jan 1 0:00 .\\drwxr-xr-x 3 2000 fh 1024

jan 1 0:00 ..\\-rwxr-xr-x 3 2000 fh %u jan 1 0:00 % s\\

226 -\\-x 3 2000 fh 1024 jan 1 0:00 .\\drwxr-xr-x 3 2000 fh 1024

jan 1 0:00 ..\\-rwxr-xr-x 3 2000 fh %u jan 1 0:00 % s\\

7 、自动连接以下 IRC 服务器列表:

6*.4*.2*6.*6:5190

6*.4*.2*6.*6:10324

6*.4*.2*6.*6:8080

6*.4*.2*6.*6:1863

6*.4*.2*6.*7:5190

6*.4*.2*6.*7:8080

6*.4*.2*6.*7:10324

6*.4*.2*6.*7:1863

6*.4*.2*6.*8:10324

6*.4*.2*6.*8:1863

6*.4*.2*6.*8:5190

6*.4*.2*6.*8:8080

6*.4*.2*6.*9:5190

6*.4*.2*6.*9:10324

6*.4*.2*6.*9:8080

6*.4*.2*6.*9:1863

8 、下载服务器地址及文件:

72.10.167.74 (加拿大 纽宾士省 St.Quentin )

9 、枚举本地网络地址,创建大量线程扫描,发送 SYN 包到目的地址 135 端口,欲对目标地址

溢出攻击:

135/TCP epmap // 协议信息

注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

清除方案

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1)使用安天木马防线断开网络,结束病毒进程。

(2)删除病毒衍生文件:

删除 %system32% 文件夹下的以下列表中的文件:

winamp.exe

winIogon.exe

firewall.exe

spooIsv.exe

spoolsvc.exe

Isass.exe

lssas.exe

algs.exe

logon.exe

iexplore.exe

csrs.exe

(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run

键值:字串: "Windows Logon Application"=

"C:\\WINDOWS\\System32\\( 病毒名 )"

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 0:45:53