“IRC波特变种BBU”（backdoor.win32.ircbot.bbu）病毒技术分析

病毒名称：backdoor.win32.ircbot.bbu

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：低

全球化传播态势：低

清除难度：困难

破坏力：低

破坏手段：恶意操纵感染机器

这是一个 c / c++ 编写的 IRC 后门程序，该病毒运行后首先动态获取需要的的API的地址并保存。并创建互斥量"fuck3rz",确保只一个实列在运行。

之后该病毒获取当前进程的全路径名，若路径中包含"InsideTm"则退出。

该病毒把自己拷贝到%SystemDir%\\\\drivers\\\\wmiadapi.exe启动该进程进程。若拷贝失败,则设置文件时间信息与explorer.exe相同。

该病毒会设置如下注册表键值：

SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy

\\StandardProfile\\Awmiadapi.exe:*:Enabled:AutoDiscovery/AutoPurge (ADAP) Service

Software\\Microsoft\\Windows\\CurrentVersion\\Run

AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\\\drivers\\\\wmiadapi.exe

Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\\\drivers\\\\wmiadapi.exe

Software\\Microsoft\\OLE

AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\\\drivers\\\\wmiadapi.exe

SYSTEM\\CurrentControlSet\\Control\\Lsa

AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\\\drivers\\\\wmiadapi.exe

之后该病毒创建一个线程来检测多个杀毒的进程，如果发现则将其结束。

之后该病毒会一次完成以下操作：

1、获取网络状态，使用dns/socket连接cftp.dawnsoul.info

2、获取本地时间、os版本、系统目录和tcpip.sys的版本若符合条件则启动线程为tcpip.sys打补丁来破坏系统的一些正常网络功能。

3、进入shell命令循环

4、发送IRC登陆命令 NICK ?? USER ?? 0 0 :??

该病毒可以通过IRC来接受名，其支持的命令有：

命令格式:

nick_name(user):cmd2 cmd3 ... cmdn\\r\

!PING target

nick_name(user)

---------------

cmd2 cmd3 描述

+--------------+----------------+-------------

PING xxxx 类似echo,返回PONG xxxx

NOTICE

001

005

302

433

KICK

353

332

NICK

PART

QUIT

353

rnick -->返回nick_name "NICK %s\\r\" //%s->rand_num / pid

key --> 获取OS的ProductID

die 332 -->进程退出

logout

gftp -->返回CFTP server: stfu.own3d.biz, port: 21, user: username, pass: password, file: sexy.exe.

R.e.c.o.n.n.e.c.t -->reconnect

d.i.s.c.o.n.n.e.c.t -->close

leave

status -->返回SexyGame ready. Up %dd %dh %dm. 系统已运行时间

ver -->返回SexyGame by !!!!

id -->返回fuck3rz

t sub -->列出运行的线程

pst -->返回playin p.store!,并通过pstorec.dll枚举本机存储信息

log

system -->获取系统信息,mem,version,user,computer_name,time

driver -->枚举驱动器信息

?

s

uptime -->已运行的时间

stop -->停止扫描

procs full -->创建线程,枚举进程

bk on -->

bk off -->关闭Cleaner thread

sn on -->启动嗅探线程

sn off -->关闭...

killproc proc_module -->关闭进程

killid proc_id -->关闭进程

FIND ip -->扫描

nick

j

p

r

killth

all

open file_path -->运行文件

dns dns_name -->dns查询

mIRCMD -->命令

pm

act

cyc 332

mode

repeat 332

delay 332

au -->程序升级,http下载并执行

exe path -->创建进程

du -->http下载并执行

find

sftp -->stfu.own3d.biz

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

1 . 瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.32.32版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。