词条 | backdoor.win32.ircbot.bbu |
释义 | “IRC波特变种BBU”(backdoor.win32.ircbot.bbu)病毒技术分析 病毒名称:backdoor.win32.ircbot.bbu 感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000 威胁情况: 传播级别:低 全球化传播态势:低 清除难度:困难 破坏力:低 破坏手段:恶意操纵感染机器 这是一个 c / c++ 编写的 IRC 后门程序,该病毒运行后首先动态获取需要的的API的地址并保存。并创建互斥量"fuck3rz",确保只一个实列在运行。 之后该病毒获取当前进程的全路径名,若路径中包含"InsideTm"则退出。 该病毒把自己拷贝到%SystemDir%\\\\drivers\\\\wmiadapi.exe启动该进程进程。若拷贝失败,则设置文件时间信息与explorer.exe相同。 该病毒会设置如下注册表键值: SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy \\StandardProfile\\Awmiadapi.exe:*:Enabled:AutoDiscovery/AutoPurge (ADAP) Service Software\\Microsoft\\Windows\\CurrentVersion\\Run AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\\\drivers\\\\wmiadapi.exe Software\\Microsoft\\Windows\\CurrentVersion\\RunServices AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\\\drivers\\\\wmiadapi.exe Software\\Microsoft\\OLE AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\\\drivers\\\\wmiadapi.exe SYSTEM\\CurrentControlSet\\Control\\Lsa AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\\\drivers\\\\wmiadapi.exe 之后该病毒创建一个线程来检测多个杀毒的进程,如果发现则将其结束。 之后该病毒会一次完成以下操作: 1、获取网络状态,使用dns/socket连接cftp.dawnsoul.info 2、获取本地时间、os版本、系统目录和tcpip.sys的版本若符合条件则启动线程为tcpip.sys打补丁来破坏系统的一些正常网络功能。 3、进入shell命令循环 4、发送IRC登陆命令 NICK ?? USER ?? 0 0 :?? 该病毒可以通过IRC来接受名,其支持的命令有: 命令格式: nick_name(user):cmd2 cmd3 ... cmdn\\r\ !PING target nick_name(user) --------------- cmd2 cmd3 描述 +--------------+----------------+------------- PING xxxx 类似echo,返回PONG xxxx NOTICE 001 005 302 433 KICK 353 332 NICK PART QUIT 353 rnick -->返回nick_name "NICK %s\\r\" //%s->rand_num / pid key --> 获取OS的ProductID die 332 -->进程退出 logout gftp -->返回CFTP server: stfu.own3d.biz, port: 21, user: username, pass: password, file: sexy.exe. R.e.c.o.n.n.e.c.t -->reconnect d.i.s.c.o.n.n.e.c.t -->close leave status -->返回SexyGame ready. Up %dd %dh %dm. 系统已运行时间 ver -->返回SexyGame by !!!! id -->返回fuck3rz t sub -->列出运行的线程 pst -->返回playin p.store!,并通过pstorec.dll枚举本机存储信息 log system -->获取系统信息,mem,version,user,computer_name,time driver -->枚举驱动器信息 ? s uptime -->已运行的时间 stop -->停止扫描 procs full -->创建线程,枚举进程 bk on --> bk off -->关闭Cleaner thread sn on -->启动嗅探线程 sn off -->关闭... killproc proc_module -->关闭进程 killid proc_id -->关闭进程 FIND ip -->扫描 nick j p r killth all open file_path -->运行文件 dns dns_name -->dns查询 mIRCMD -->命令 pm act cyc 332 mode repeat 332 delay 332 au -->程序升级,http下载并执行 exe path -->创建进程 du -->http下载并执行 find sftp -->stfu.own3d.biz 安全建议: 1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。 2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。 3 不浏览不良网站,不随意下载安装可疑插件。 4 不接收QQ、MSN、Emial等传来的可疑文件。 5 上网时打开杀毒软件实时监控功能。 6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。 清除办法: 1 . 瑞星杀毒软件清除办法: 安装瑞星杀毒软件,升级到19.32.32版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。