词条 | Backdoor.Wn32.PoeBot.c |
释义 | 该病毒运行后,病毒衍生文件到系统目录下,添加注册表自动运行项以随机引导病毒体。该病毒利用MS04-011漏洞,通过IRC频道生成后门程序。受感染用户可能被受控进行端口扫描,ddos攻击等行为。用户系统文件完全暴露。 基本信息病毒名称:Backdoor.Wn32.PoeBot.c 中文名称:Poe机器人变种 病毒类型:后门类 文件 MD5:DFC1C63A5DE1FB54A95768774DEB4809 公开范围:完全公开 危害等级:高 文件长度:46,592 字节 感染系统:Wn98以上系统 开发工具:Microsoft Vsual C++6.0 加壳工具:UPolyX v0.5 * UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 命名对照: 驱逐舰[Wn32.HLLW.Shepher] 瑞星[Bacdoor.PoeBot.cb] 行为分析1、衍生下列副本与文件 %System32%\\iexplore.exe 2、新建注册表键值 HKEY_LOCAL_MACHNE\\SOFTWARE\\Microsoft\\Wndows\\CurrentVerson \\Run\\Mcrosoft nternet Explorer 键值: 字符串: "%WNDr%\\system32\\explore.exe" 3、开放下列端口连接指定服务器等待受控: TCP8998ServerP:208.53.131.46 TCP 9889ServerP: 208.53.131.46 4、试图从某服务器下载病毒体: TPC->HTTP 80ServerP: 209.162.178.14 5、生成[随机名].bat删除初始病毒文件及自身: @echo off :deleteagan del /A:H /F 1111.exe del /F 1111.exe f exst 1111.exe goto deleteagan del ryjgoel.bat 6、病毒试图利用自身带的用户名和密码表,利用网络进行传播: 用户名表: "admnstrator""admnstrador""admnstrateur""admnstrat" "admns""admn""adm""computer""unx""lnux""system" "server""root""web""www""nternet""home""homeuser" "user""oemuser""wwwadmn""bob""jen""joe""fred""bll" "mke""john""peter""luke""sam""sue""susan""peter" "bran""lee""nel""an""chrs""guest""none""erc" "george""kate""bob""kate""mary""techncal""backup" "god""doman""database""access""data""sa""sql""oracle" "bm""csco""dell""compaq""semens""control"offce""man" "lan""nternet""ntranet""student""owner""teacher""staff" 共享列表: "$""d$""e$""$\\shared""d$\\shared""e$\\shared""c$\\wnnt""c$\\wndows" "c$\\wnnt\\system32""c$\\wndows\\system32""Admn$\\system32""admn$""C$ \\Documents and "prnt$""PC$" 密码列表"admnstrator""admnstrador""admnstrateur""admnstrat" "admns""admn""adm""ab""abc""password1""password" "passwd""dba""pass1234""pass""pwd""007""12""123" "1234""12345""123456""1234567""12345678""123456789" "1234567890""work""deadlne""payday""secret""2000" "2001""2002""2003""2004""2005""test""guest""none" "demo""computer""unx""lnux""changeme""default" "system""server""root""null""temp""temp123" "qwerty""mal""outlook""web""www""nternet""sex" "letmen""accounts""accountng""home""homeuser" "user""oem""oemuser""oemnstall""wwwadmn""wndows" "wn98""wn2k""wnxp""wnnt""wn2000""qaz""asd""zxc" "qwe""bob""jen""joe""fred""bll""mke""db2""db1234" "sa""sql""sqlpassoanstall""oranstall""oracle""bm" "csco""dell""compaq""semens""hp""noka""xp""control" "offce""blank""wnpass""man""lan""nternet""ntranet" "student""owner""teacher""staff""john""peter""luke" "sam""sue""susan""peter""bran""lee""nel""an""chrs" "erc""george""kate""bob""kate""mary""logn""lognpass" "techncal""backup""exchange""fuck""btch""slut""sex" "god""money""love""hell""hello""doman""domanpass" "domanpassword""database""access""dbpass""dbpassword" "databasepass""data""databasepassword""db1" 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Wndows2000/NT中默认的安装路径是C:\\Wnnt\\System32,wndows95/98/me中默认的安装路径是C:\\Wndows\\System,wndowsXP中默认的安装路径是C:\\Wndows\\System32。 -------------------------------------------------------------------------------- 清除方案1、使用安天木马防线可彻底清除此病毒(推荐) 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 iexplore.exe (2) 删除病毒释放文件 %System32%\\iexplore.exe (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_LOCAL_MACHNE\\SOFTWARE\\Microsoft\\Wndows\\CurrentVerson\\Run \\Mcrosoft nternet Explorer 键值: 字符串: "%WNDr%\\system32\\explore.exe" 病毒简介 病毒名称:Backdoor.Wn32.PoeBot.c 中文名称:Poe机器人变种 病毒类型:后门类 件文 MD5:DFC1C63A5DE1FB54A95768774DEB4809 公开范围:完全公开 危害等级:高 文件长度:46,592 字节 感染系统:Wn98以上系统 开发工具:Mcrosoft Vsual C++6.0 加壳工具:UPolyX v0.5 * UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 命名对照: 驱逐舰[Wn32.HLLW.Shepher] 瑞星[Bacdoor.PoeBot.cb] 病毒描述该病毒运行后,病毒衍生文件到系统目录下,添加注册表自动运行项以随机引导病毒体。该病毒利用MS04-011漏洞,通过IRC频道生成后门程序。受感染用户可能被受控进行端口扫描,ddos攻击等行为。用户系统文件完全暴露。 行为分析: 1、衍生下列副本与文件 %System32%\\iexplore.exe 2、新建注册表键值 HKEY_LOCAL_MACHNE\\SOFTWARE\\Mcrosoft\\Wndows\\CurrentVerson \\Run\\Mcrosoft nternet Explorer 键值: 字符串: "%WNDr%\\system32\\explore.exe" 3、开放下列端口连接指定服务器等待受控: TCP8998ServerP:208.53.131.46 TCP 9889ServerP: 208.53.131.46 4、试图从某服务器下载病毒体: TPC->HTTP 80ServerP: 209.162.178.14 5、生成[随机名].bat删除初始病毒文件及自身: @echo off :deleteagan del /A:H /F 1111.exe del /F 1111.exe f exst 1111.exe goto deleteagan del ryjgoel.bat 6、病毒试图利用自身带的用户名和密码表,利用网络进行传播: 用户名表: "admnstrator""admnstrador""admnstrateur""admnstrat" "admns""admn""adm""computer""unx""lnux""system" "server""root""web""www""nternet""home""homeuser" "user""oemuser""wwwadmn""bob""jen""joe""fred""bll" "mke""john""peter""luke""sam""sue""susan""peter" "bran""lee""nel""an""chrs""guest""none""erc" "george""kate""bob""kate""mary""techncal""backup" "god""doman""database""access""data""sa""sql""oracle" "bm""csco""dell""compaq""semens""control"offce""man" "lan""nternet""ntranet""student""owner""teacher""staff" 共享列表: "$""d$""e$""$\\shared""d$\\shared""e$\\shared""c$\\wnnt""c$\\wndows" "c$\\wnnt\\system32""c$\\wndows\\system32""Admn$\\system32""admn$""C$ \\Documents and "prnt$""PC$" 密码列表: "admnstrator""admnstrador""admnstrateur""admnstrat" "admns""admn""adm""ab""abc""password1""password" "passwd""dba""pass1234""pass""pwd""007""12""123" "1234""12345""123456""1234567""12345678""123456789" "1234567890""work""deadlne""payday""secret""2000" "2001""2002""2003""2004""2005""test""guest""none" "demo""computer""unx""lnux""changeme""default" "system""server""root""null""temp""temp123" "qwerty""mal""outlook""web""www""nternet""sex" "letmen""accounts""accountng""home""homeuser" "user""oem""oemuser""oemnstall""wwwadmn""wndows" "wn98""wn2k""wnxp""wnnt""wn2000""qaz""asd""zxc" "qwe""bob""jen""joe""fred""bll""mke""db2""db1234" "sa""sql""sqlpassoanstall""oranstall""oracle""bm" "csco""dell""compaq""semens""hp""noka""xp""control" "offce""blank""wnpass""man""lan""nternet""ntranet" "student""owner""teacher""staff""john""peter""luke" "sam""sue""susan""peter""bran""lee""nel""an""chrs" "erc""george""kate""bob""kate""mary""logn""lognpass" "techncal""backup""exchange""fuck""btch""slut""sex" "god""money""love""hell""hello""doman""domanpass" "domanpassword""database""access""dbpass""dbpassword" "databasepass""data""databasepassword""db1" 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Wndows2000/NT中默认的安装路径是C:\\Wnnt\\System32,wndows95/98/me中默认的安装路径是C:\\Wndows\\System,wndowsXP中默认的安装路径是C:\\Wndows\\System32。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。