请输入您要查询的百科知识:

 

词条 Backdoor.Wn32.PoeBot.c
释义

该病毒运行后,病毒衍生文件到系统目录下,添加注册表自动运行项以随机引导病毒体。该病毒利用MS04-011漏洞,通过IRC频道生成后门程序。受感染用户可能被受控进行端口扫描,ddos攻击等行为。用户系统文件完全暴露。

基本信息

病毒名称:Backdoor.Wn32.PoeBot.c

中文名称:Poe机器人变种

病毒类型:后门类

文件 MD5:DFC1C63A5DE1FB54A95768774DEB4809

公开范围:完全公开

危害等级:高

文件长度:46,592 字节

感染系统:Wn98以上系统

开发工具:Microsoft Vsual C++6.0

加壳工具:UPolyX v0.5 *

UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

命名对照: 驱逐舰[Wn32.HLLW.Shepher]

瑞星[Bacdoor.PoeBot.cb]

行为分析

1、衍生下列副本与文件

%System32%\\iexplore.exe

2、新建注册表键值

HKEY_LOCAL_MACHNE\\SOFTWARE\\Microsoft\\Wndows\\CurrentVerson

\\Run\\Mcrosoft nternet Explorer

键值: 字符串: "%WNDr%\\system32\\explore.exe"

3、开放下列端口连接指定服务器等待受控:

TCP8998ServerP:208.53.131.46

TCP 9889ServerP: 208.53.131.46

4、试图从某服务器下载病毒体:

TPC->HTTP 80ServerP: 209.162.178.14

5、生成[随机名].bat删除初始病毒文件及自身:

@echo off

:deleteagan

del /A:H /F 1111.exe

del /F 1111.exe

f exst 1111.exe goto deleteagan

del ryjgoel.bat

6、病毒试图利用自身带的用户名和密码表,利用网络进行传播:

用户名表:

"admnstrator""admnstrador""admnstrateur""admnstrat"

"admns""admn""adm""computer""unx""lnux""system"

"server""root""web""www""nternet""home""homeuser"

"user""oemuser""wwwadmn""bob""jen""joe""fred""bll"

"mke""john""peter""luke""sam""sue""susan""peter"

"bran""lee""nel""an""chrs""guest""none""erc"

"george""kate""bob""kate""mary""techncal""backup"

"god""doman""database""access""data""sa""sql""oracle"

"bm""csco""dell""compaq""semens""control"offce""man"

"lan""nternet""ntranet""student""owner""teacher""staff"

共享列表:

"$""d$""e$""$\\shared""d$\\shared""e$\\shared""c$\\wnnt""c$\\wndows"

"c$\\wnnt\\system32""c$\\wndows\\system32""Admn$\\system32""admn$""C$

\\Documents and "prnt$""PC$"

密码列表

"admnstrator""admnstrador""admnstrateur""admnstrat"

"admns""admn""adm""ab""abc""password1""password"

"passwd""dba""pass1234""pass""pwd""007""12""123"

"1234""12345""123456""1234567""12345678""123456789"

"1234567890""work""deadlne""payday""secret""2000"

"2001""2002""2003""2004""2005""test""guest""none"

"demo""computer""unx""lnux""changeme""default"

"system""server""root""null""temp""temp123"

"qwerty""mal""outlook""web""www""nternet""sex"

"letmen""accounts""accountng""home""homeuser"

"user""oem""oemuser""oemnstall""wwwadmn""wndows"

"wn98""wn2k""wnxp""wnnt""wn2000""qaz""asd""zxc"

"qwe""bob""jen""joe""fred""bll""mke""db2""db1234"

"sa""sql""sqlpassoanstall""oranstall""oracle""bm"

"csco""dell""compaq""semens""hp""noka""xp""control"

"offce""blank""wnpass""man""lan""nternet""ntranet"

"student""owner""teacher""staff""john""peter""luke"

"sam""sue""susan""peter""bran""lee""nel""an""chrs"

"erc""george""kate""bob""kate""mary""logn""lognpass"

"techncal""backup""exchange""fuck""btch""slut""sex"

"god""money""love""hell""hello""doman""domanpass"

"domanpassword""database""access""dbpass""dbpassword"

"databasepass""data""databasepassword""db1"

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Wndows2000/NT中默认的安装路径是C:\\Wnnt\\System32,wndows95/98/me中默认的安装路径是C:\\Wndows\\System,wndowsXP中默认的安装路径是C:\\Wndows\\System32。

--------------------------------------------------------------------------------

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

iexplore.exe

(2) 删除病毒释放文件

%System32%\\iexplore.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_LOCAL_MACHNE\\SOFTWARE\\Microsoft\\Wndows\\CurrentVerson\\Run

\\Mcrosoft nternet Explorer

键值: 字符串: "%WNDr%\\system32\\explore.exe"

病毒简介 病毒名称:Backdoor.Wn32.PoeBot.c

中文名称:Poe机器人变种

病毒类型:后门类

件文 MD5:DFC1C63A5DE1FB54A95768774DEB4809

公开范围:完全公开

危害等级:高

文件长度:46,592 字节

感染系统:Wn98以上系统

开发工具:Mcrosoft Vsual C++6.0

加壳工具:UPolyX v0.5 *

UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

命名对照: 驱逐舰[Wn32.HLLW.Shepher]

瑞星[Bacdoor.PoeBot.cb]

病毒描述

该病毒运行后,病毒衍生文件到系统目录下,添加注册表自动运行项以随机引导病毒体。该病毒利用MS04-011漏洞,通过IRC频道生成后门程序。受感染用户可能被受控进行端口扫描,ddos攻击等行为。用户系统文件完全暴露。

行为分析:

1、衍生下列副本与文件

%System32%\\iexplore.exe

2、新建注册表键值

HKEY_LOCAL_MACHNE\\SOFTWARE\\Mcrosoft\\Wndows\\CurrentVerson

\\Run\\Mcrosoft nternet Explorer

键值: 字符串: "%WNDr%\\system32\\explore.exe"

3、开放下列端口连接指定服务器等待受控:

TCP8998ServerP:208.53.131.46

TCP 9889ServerP: 208.53.131.46

4、试图从某服务器下载病毒体:

TPC->HTTP 80ServerP: 209.162.178.14

5、生成[随机名].bat删除初始病毒文件及自身:

@echo off

:deleteagan

del /A:H /F 1111.exe

del /F 1111.exe

f exst 1111.exe goto deleteagan

del ryjgoel.bat

6、病毒试图利用自身带的用户名和密码表,利用网络进行传播:

用户名表:

"admnstrator""admnstrador""admnstrateur""admnstrat"

"admns""admn""adm""computer""unx""lnux""system"

"server""root""web""www""nternet""home""homeuser"

"user""oemuser""wwwadmn""bob""jen""joe""fred""bll"

"mke""john""peter""luke""sam""sue""susan""peter"

"bran""lee""nel""an""chrs""guest""none""erc"

"george""kate""bob""kate""mary""techncal""backup"

"god""doman""database""access""data""sa""sql""oracle"

"bm""csco""dell""compaq""semens""control"offce""man"

"lan""nternet""ntranet""student""owner""teacher""staff"

共享列表:

"$""d$""e$""$\\shared""d$\\shared""e$\\shared""c$\\wnnt""c$\\wndows"

"c$\\wnnt\\system32""c$\\wndows\\system32""Admn$\\system32""admn$""C$

\\Documents and "prnt$""PC$"

密码列表:

"admnstrator""admnstrador""admnstrateur""admnstrat"

"admns""admn""adm""ab""abc""password1""password"

"passwd""dba""pass1234""pass""pwd""007""12""123"

"1234""12345""123456""1234567""12345678""123456789"

"1234567890""work""deadlne""payday""secret""2000"

"2001""2002""2003""2004""2005""test""guest""none"

"demo""computer""unx""lnux""changeme""default"

"system""server""root""null""temp""temp123"

"qwerty""mal""outlook""web""www""nternet""sex"

"letmen""accounts""accountng""home""homeuser"

"user""oem""oemuser""oemnstall""wwwadmn""wndows"

"wn98""wn2k""wnxp""wnnt""wn2000""qaz""asd""zxc"

"qwe""bob""jen""joe""fred""bll""mke""db2""db1234"

"sa""sql""sqlpassoanstall""oranstall""oracle""bm"

"csco""dell""compaq""semens""hp""noka""xp""control"

"offce""blank""wnpass""man""lan""nternet""ntranet"

"student""owner""teacher""staff""john""peter""luke"

"sam""sue""susan""peter""bran""lee""nel""an""chrs"

"erc""george""kate""bob""kate""mary""logn""lognpass"

"techncal""backup""exchange""fuck""btch""slut""sex"

"god""money""love""hell""hello""doman""domanpass"

"domanpassword""database""access""dbpass""dbpassword"

"databasepass""data""databasepassword""db1"

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Wndows2000/NT中默认的安装路径是C:\\Wnnt\\System32,wndows95/98/me中默认的安装路径是C:\\Wndows\\System,wndowsXP中默认的安装路径是C:\\Wndows\\System32。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/24 10:32:25