基本信息

病毒描述：

行为分析：

清除方案：

基本信息

病毒名称： Backdoor.Win32.PoeBot.c

中文名称： Hasidho

病毒类型： 后门类

文件MD5 ： 251050E698E7D7225309D6B1E8241876

公开范围： 完全公开

危害等级： 4

文件长度： 加壳后 81,920 字节，脱壳后307,200 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual C++ 3.0

加壳类型 : Packman V1.0 -> Brandon LaCombe

命名对照： BitDefender [Backdoor.Poebot.O] Avast![ Win32:Poebot-D]

AVG[Trojan horse BackDoor.Generic3.OMM] McAfee[W32/Pate.dr]

病毒描述：

该病毒运行后，衍生病毒文件到系统目录下并添加注册表随机运行项以达到随系统启动病毒体。此病毒是一个工作在 Windows平台下的网络蠕虫与IRC后门结合类程序，病毒加入IRC频道并等待远端用户发送远程命令。该病毒通过网络共享与弱口令传播自身，也可通过LSASS漏洞（MS04-011）传播。

行为分析：

1 、衍生下列副本与文件：

%System32%\\winIogon.exe

2 、新建注册表键值：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\

Run\\Windows Logon Application

Value: String: "%WINDir%\\System32\\winIogon.exe"

3 、创建 5 个线程监听网络，等待接收远程 IRC 命令：

winIogon.exe ： 588 Server:nap.wideopenwest.com

(6*.5*.1*4.*0):2569:[d53-64-50-184]

4 、病毒运行后，进行如下操作，由于远端服务器关闭，故无更多行为：

USER nurmusud nurmusud nurmusud :Hasidho Omrygel

NICK [LZ]xPtIZHrT

MODE [LZ]xPtIZHrT +xi

JOIN #zebras

USERHOST [LZ]xPtIZHrT

MODE #zebras +smntu

PING :hub.17005.com

PONG :hub.17005.com

5 、受感染用户可能被利用进行如下操作：

对某人或某服务器进行分布式拒绝服务攻击（ Ddos ）

捕获用户数据包

盗取用户软件注册相关信息

创建 FTP 服务

劫持 FTP 客户端软件

进行端口扫描

枚举终端用户进程与服务信息

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

--------------------------------------------------------------------------------

清除方案：

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用 安天木马防线 “进程管理”关闭病毒进程：

winIogon.exe

(2) 删除并恢复病毒添加与修改的注册表键值：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run\\Windows Logon Application

Value: String: "%WINDir%\\System32\\winIogon.exe"

(3) 删除病毒释放文件：

%System32%\\winIogon.exe