“Backdoor.Win32.VanBot.ax”的意思、由来-中文百科全书

病毒简介

病毒名称： Backdoor.Win32.VanBot.ax

中文名称： IRC后门

病毒类型：后门类

文件 MD5： A1053B6AFA67509CFF9F5B9AD166F316

公开范围：完全公开

危害等级：高

文件长度： 56,440 字节

感染系统： WinNT4以上系统

开发工具： Microsoft Visual C++ 6.0

加壳工具：未知壳

命名参考： SOPHOS[W32/Vanebot-AW]

病毒描述

该病毒运行后，衍生病毒文件到系统目录下，添加注册表自动运行项以随机引导病毒体。创建大量线程用于扫描用户所在网络，若发现存默认共享或弱口令则传播自身。此病毒为一个利用Windows平台下IRC协议的网络蠕虫，受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp等恶意行为。

行为分析

1 、衍生下列副本与文件：

%System32%\\iexplorer.exe

%System32%\\jhxn.exe

2 、新建注册表键值：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Advanced

DHTML Enable

Value: String: "%WinDir%\\System32\\ jhxn.exe "//此处文件名为随机生成

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Microsoft

Internet Explorer

Value: String: "%WinDir%\\System32\\ iexplore.exe"//此处文件名可能为

Firewall.exe

3 、创建大量扫描线程用以扫描存在漏洞的本地网络。

4 、自动连接的IRC服务器：

220.198.59.***:9928

220.196.59.***:3938

67.43.236.**:2938

5 、连接IRC服务器信息如下：

USER oursxb oursxb oursxb :qdvwwaiuhmiyjygl

NICK eIBnErNT

PING :66609D09

PONG :66609D09

:@_@ 001 eIBnErNT:

MODE eIBnErNT +xi

JOIN #siwa

USERHOST eIBnErNT

:x.hub.x 332 eIBnErNT

#siwa :=xAgVMf81RvN+xBBhG+xXwttpTsaSBfWeekvMkmkVNcbo20jZvmkCo7CUU

bRsdRPzz6wiS1OY8pcXg3d9ucVufq2bgQ1mvh+9OBJDwIuw1kOamPaw+2jw/CTaWV

QRjrX8Xl2Iph

6 、病毒体下载的地址：

Host: 220.196.59.***/packed_7711.exe

7 、创建自删除批处理文件删除自身。

8 、病毒可利用以下漏洞传播自身：

LSASS (MS04-011)，

SRVSVC (MS06-040)，

RPC-DCOM (MS04-012)，

PNP (MS05-039)，

网络共享及弱口令

注：%System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的

安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

清除方案

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1)使用安天木马防线结束病毒进程，病毒常生产的进程名为下列两个：

iexplorer.exe

Firewall.exe

(2)恢复病毒修改的注册表项目，删除病毒添加的注册表项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run\\Advanced DHTML Enable

Value: String: "%WinDir%\\System32\\ jhxn.exe "

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run\\Microsoft Internet Explorer

Value: String: "%WinDir%\\System32\\ iexplore.exe "

(3) 删除病毒释放文件：

%System32%\\iexplorer.exe

%System32%\\ jhxn.exe

(4) 使用木马防线的补丁功能打全补丁。

词条	Backdoor.Win32.VanBot.ax
释义	病毒简介病毒描述行为分析清除方案病毒简介病毒名称： Backdoor.Win32.VanBot.ax 中文名称： IRC后门病毒类型：后门类文件 MD5： A1053B6AFA67509CFF9F5B9AD166F316 公开范围：完全公开危害等级：高文件长度： 56,440 字节感染系统： WinNT4以上系统开发工具： Microsoft Visual C++ 6.0 加壳工具：未知壳命名参考： SOPHOS[W32/Vanebot-AW] 病毒描述该病毒运行后，衍生病毒文件到系统目录下，添加注册表自动运行项以随机引导病毒体。创建大量线程用于扫描用户所在网络，若发现存默认共享或弱口令则传播自身。此病毒为一个利用Windows平台下IRC协议的网络蠕虫，受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp等恶意行为。行为分析 1 、衍生下列副本与文件： %System32%\\iexplorer.exe %System32%\\jhxn.exe 2 、新建注册表键值： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Advanced DHTML Enable Value: String: "%WinDir%\\System32\\ jhxn.exe "//此处文件名为随机生成 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Microsoft Internet Explorer Value: String: "%WinDir%\\System32\\ iexplore.exe"//此处文件名可能为 Firewall.exe 3 、创建大量扫描线程用以扫描存在漏洞的本地网络。 4 、自动连接的IRC服务器： 220.198.59.*:9928 220.196.59.:3938 67.43.236.:2938 5 、连接IRC服务器信息如下： USER oursxb oursxb oursxb :qdvwwaiuhmiyjygl NICK eIBnErNT PING :66609D09 PONG :66609D09 :@_@ 001 eIBnErNT: MODE eIBnErNT +xi JOIN #siwa USERHOST eIBnErNT :x.hub.x 332 eIBnErNT #siwa :=xAgVMf81RvN+xBBhG+xXwttpTsaSBfWeekvMkmkVNcbo20jZvmkCo7CUU bRsdRPzz6wiS1OY8pcXg3d9ucVufq2bgQ1mvh+9OBJDwIuw1kOamPaw+2jw/CTaWV QRjrX8Xl2Iph 6 、病毒体下载的地址： Host: 220.196.59.**/packed_7711.exe 7 、创建自删除批处理文件删除自身。 8 、病毒可利用以下漏洞传播自身： LSASS (MS04-011)， SRVSVC (MS06-040)， RPC-DCOM (MS04-012)， PNP (MS05-039)，网络共享及弱口令注：%System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。清除方案 1 、使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1)使用安天木马防线结束病毒进程，病毒常生产的进程名为下列两个： iexplorer.exe Firewall.exe (2)恢复病毒修改的注册表项目，删除病毒添加的注册表项： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\Advanced DHTML Enable Value: String: "%WinDir%\\System32\\ jhxn.exe " HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\Microsoft Internet Explorer Value: String: "%WinDir%\\System32\\ iexplore.exe " (3) 删除病毒释放文件： %System32%\\iexplorer.exe %System32%\\ jhxn.exe (4) 使用木马防线的补丁功能打全补丁。
随便看	石埠乡石埠镇石埠子镇石不动石不琢石布朵村石布子村石步村石材石材报价网石材雕刻机石材定深开槽机石材翻新机石材防护石材防污剂石材放射性检测仪石材蜂窝板石材辐射石材复合板石材工程的防护和保养石材工程施工技术石材工业石材护理石材花线石材黄页