Backdoor/Norbot.af

   

   Backdoor/Norbot.af
病毒长度：98,304 bytes
病毒类型：后门
危害等级：*
影响平台：Win2000/XP/NT/2003
Backdoor/Norbot.af试图通过容易破解密码的网络共享进行传播，允许攻击者用一个特定的IRC频道访问被感染的计算机。此病毒经UPX压缩过。
利用微软漏洞进行传播，包括：
MS03-026：DCOM RPC漏洞，利用TCP端口135
MS03-007：WebDav漏洞，利用TCP端口80
MS03-049：Workstation service缓冲区溢出漏洞，利用TCP端口445
MS03-001：RPC漏洞，利用TCP端口445
传播过程及特征：
1.复制自身为：%System%\hallowelt.exe，并执行此文件。
2.修改注册表：
添加键值："yeahdude.exe"="hallowelt.exe"到注册表启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
3.删除一些病毒添加的文件以及注册表键值，并结束它们的相关进程，还结束一些反病毒和防火墙软件相关的进程。
4.在计算机的hosts文件里添加一些如127.0.0.1 www.mcafee.com的项目，导致用户不能访问某些站点。
5.连接一个特定的IRC频道利用自己的IRC客户端监听远程指令，从而允许攻击者远程控制计算机执行下列操作：
下载并执行文件
盗取系统信息
获取邮件地址
盗取各种游戏的CD Keys
6.探测下列共享并试图取得共享权限，成功后便复制自身到目标计算机：
c$  d$  e$  print$  admin$
取得共享权限使用的用户名和密码一部分是通过NetUserEnum()函数得到的。