蠕虫病毒Win32.Petribot.AMJ

   

   病毒名称：蠕虫病毒Win32.Petribot.AMJ
其它名称：W32/SDBot.WFF (F-Secure), WORM_SDBOT.WIE (Trend), W32/Sdbot-DFJ (Sophos) , Backdoor.Win32.SdBot.bhk (Kaspersky), Trojan:Win32/Ircbrute!162A (MS OneCare)
病毒属性：蠕虫病毒  危害性：中等危害  流行程度：中
具体介绍：

病毒特性
Win32/Petribot.AMJ是一种IRC控制后门的蠕虫，能够未经授权的访问被感染机器。它会通过很多不同的软件漏洞并利用弱口令进入默认共享进行传播。它是大小为515,584字节的 Win32 可运行程序。


感染方式
运行时，Win32/Petribot.AMJ 复制"regent.exe"到%Windows% 目录，并作为一个服务安装，为了在每次系统启动时自动运行病毒。服务有以下特征：
Service name: Register Manager
Display name: Register Manager
Path to executable: %Windows%\regent.exe
Startup type: Automatic

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\ = "%Windows%\regent.exe"

注：&＃39;&＃39;%Windows %&＃39;&＃39;是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt； 95，98 和 ME 的是C:\Windows； XP 的是C:\Windows。

这个变体还会生成以下注册表，为了储存它自己使用的数据：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\12
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\13
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\14 = ""


传播方式
通过漏洞传播
Win32/Petribot.AMJ通过攻击以下系统漏洞和第三方软件漏洞进行传播：
Microsoft Windows LSASS buffer overflow vulnerability (TCP 445端口)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP 135, 445端口)
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx

Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank &＃39;&＃39;sa&＃39;&＃39; password vulnerability (TCP 1433端口)
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q321081

FTPD buffer overflow vulnerabilities
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?ID=1833

通过网络共享传播
Win32/Petribot.AMJ 通过Windows 文件共享感染远程机器。它通过探测TCP 139 和 445端口扫描目标机器。如果它能够连接这两个端口的任意一个，它就会连接Windows 共享：
\\\ipc$

这里的是病毒尝试感染的机器名。

如果连接成功，它就会尝试获取目标机器的用户名列表，随后使用这些用户名访问系统。如果它不能获取用户名列表，它就会尝试使用以下用户名：
administrator
administrador
administrateur
administrat
admins
admin
staff
root
computer
owner
student
teacher
wwwadmin
guest
default
database
dba
oracle
db2

蠕虫尝试复制到以下位置：
Admin$
Admin$\system32
c$\winnt\system32
c$\windows\system32
d$\winnt\system32
d$\windows\system32c$\
d$\
e$\
f$\
g$\
h$\
IPC$

如果成功连接，蠕虫就会复制到目标机器，并安排一个远程任务，在目标机器上运行蠕虫的副本。


危害
后门功能（端口：可变的）
Win32/Petribot.AMJ包含后门功能，允许未经授权的访问，并控制被感染机器。它通过IRC控制，连接到不同的服务器、端口和信道。利用后门，Petribot.AMJ的控制者可能执行以下操作：
列出并停止线程；
获取mIRC 信息，并控制mIRC；
添加/删除/读取注册表键值；
从注册表获取HTTP Mail 和 POP3 mail 的帐户名；
获取系统信息(例如：驱动器，内存，IP地址，用户名等)；
添加/删除/运行文件；
浏览驱动器/目录；
通过FTP下载/上传文件；
执行DNS 查询；
在其它的IRC host/channel 上启动slave bots；
列出/终止进程；
获取 bot 版本/状况；
改变端口；
在任意端口启动一个SOCKS proxy ；
在TCP或UDP端口探测信息包来监控机器的网络流量；
退出bot ；
将IRC 信息加密；
扫描IP地址段的机器漏洞进行攻击；
启动DoS 攻击(Denial of Service)，例如UDP flood, ICMP flood 和 ACK flood。

其它信息
蠕虫访问http://www.google.com来确定是否能够访问Internet。
蠕虫使用以下站点来确定本地机器的外部IP：
http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/prxjdg.cgi
http://www.kinchan.net/cgi-bin/proxy.cgi
http://www.pistarnow.is.net.pl/azenv.php
http://cgi.break.power.ne.jp/check/prxjdg.cgi
http://www.proxy4free.info/cgi-bin/prxjdg.cgi
http://69.59.137.236/cgi/prxjdg.cgi
http://tutanchamon.ovh.org/azenv.php
http://www.proxy.us.pl/azenv.php
http://test.anonproxies.com/azenv.php
http://www.nassc.com/pr.php
http://www.littleworld.pe.kr/azenv.php
http://www.anonymitytest.com/cgi-bin/azenv.pl
http://tn0828-web.hp.infoseek.co.jp/cgi-bin/proxyjudge.cgi



清除：
KILL安全胄甲Vet 30.7.3717版本可检测/清除此病毒。