0
Backdoor.Win32.IRCBot.st
病毒标签:
病毒名称:Backdoor.Win32.IRCBot.st
病毒类型:后门
危害等级:B+
文件长度:9,609 字节
文件MD5:9928a1e6601cf00d0b7826d13fb556f0
公开范围:完全公开
感染系统:Win9x以上所有版本
开发工具:Microsoft Visual C++ 6.0
加壳类型:MEW
病毒描述:
近日来,一种新的BOT蠕虫现身网络,该病毒会利用微软MS06-040高危漏洞进行传播。目前已经有多个变种。修改多处注册表键,用以关闭杀毒软件、防火墙降低系统安全性.
行为分析:
1、病毒运行后会复制自身到以下地址
%SYSTEM32%\wgareg.exe
2、在 %Windir%\Debug下释放一个DCPROMO.LOG文件
3、病毒在运行一段时间后会下载一个nrcs.exe(Trojan-Proxy.Win32.Ranky.fv)文件
4、连接IRC地址:bniu.househot.com(58.81.137.157:18067)
port:18067 频道名:#n1 密码:nert4mp1 频道名:#p 密码:无
此域名为动态域名以下是对应的IRC IP列表
IRC IP 61.189.243.240:18067
IRC IP 61.163.231.115:18067
IRC IP 58.81.137.157:18067
IRC IP 222.68.249.164:18067
IRC IP 218.61.146.86:18067
IRC IP 211.154.135.30:18067
IRC IP 202.121.199.200:18067
5、连接服务器的域名:media.pixpond.com(38.119.88.27:80)美国
port:80
下载http://media.pixpond.com/l9rd6g.jpg 拷到本地。重命名文件nrcs.exe
6、创建一个服务
服务名称:Windows Genuine Advantage Registration Service
描述:wgaregEnsures that your copy of Microsoft Windows is genuine and registered.Stopping or disabling this service will result in system instability.
映像路径
c:\windows\system32\wgareg.exe
7、修改多处注册表键,用以关闭杀毒软件、防火墙降低系统安全性.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify = dword:00000001
AntiVirusDisableNotify = dword:00000001
FirewallDisableNotify = dword:00000001
AntiVirusOverride = dword:00000001
FirewallOverride = dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\lanmanserver\parameters
AutoShareWks = dword:00000000
AutoShareServer = dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service s\wgareg\Type=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\Start=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\ErrorControl=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\ImagePath=C:\WINDOWS
\system32\wgareg.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\DisplayName=Windows Genuine Advant
创建服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\DisplayName=Windows Genuine Advantage Registration Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\Security\Security=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\ObjectName=LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\FailureActions=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\Des cription=Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM
新键值: 字符串: "N"
原键值: 字符串: "Y"
8、连接到一个IRC服务器,等待恶意者的连接并接受控制,命令说明如下:
IRC命令如:
join 创建或加入闲聊室
Nick 更改别名
QUIT 退出
对目标主机的操作:
下载文件
发起拒绝服务(DDOS)攻击
执行基本的RIC命令
执行系统扫描
9、采用TCP协议,按照31个IP更换一次IP段的方式,扫描系统。
例如:
222.171.159.0
.
.
222.171.159.31
接着扫描
222.4.159.0
.
.
222.4.159.31
然后再扫描
222.171.159.32
.
.
222.171.159.63
接着扫描
222.4.159.32
222.171.159.254
1038
1069
1070
1101
1104
1135
1136
1518 445
445
445
445
445
445
445
445
--------------------------------------------------------------------------------
清除方案 :
临时解决方案:
1、防火墙处阻止TCP端口:139、445
2、启用TCP/IP筛选功能进行过滤。
如何屏蔽139和445端口
屏蔽139和445端口方法:
一、右击网上邻居选择属性
二、右击本地连接选择属性如图
三、选择internet协议(Tcp/ip)
四、点击高级选择选项
五、选择属性
1、P选项中选择只允许如图
2、选择完之后把本机所需要用的端口添加到上
如本机有ftp和http那么就添加21端口和80端口
选择添加把21和80端口添加进去
如果本机还有其它端口要开可以继续添加
3、使用IPSec来阻止受影响的端口访问。
补丁下载:
中文Windows 2000 Service Pack 4:
http://download.microsoft.com/download/f/2/f/f2f6f032-b0db-459d-9e89-fc0218973e73/Windows2000-KB921883-x86-CHS.EXE
中文Windows XP Service Pack 1 & Service Pack 2:
http://download.microsoft.com/download/3/1/b/31be1ef4-18e0-44a1-bc80-1753b8b43528/WindowsXP-KB921883-x86-CHS.exe
中文Windows Server 2003 & Service Pack 1:
http://download.microsoft.com/download/3/1/e/31e1b295-80cf-47fb-be65-c542a55bc1cd/WindowsServer2003-KB921883-x86-CHS.exe
Windows XP Professional x64 Edition:
http://download.microsoft.com/download/0/f/9/0f9eb45e-cb70-40dd-8506-8cdf226731f7/WindowsServer2003.WindowsXP-KB921883-x64-ENU.exe
注:
危害等级列表如下:
A级 大面积感染流行,并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级 有一定的感染流行面积,或者有鲜明的技术特点值得进一步关注,或为既往A级蠕虫比较成熟的变种
C级 有少量感染流行,或虽然有一定感染流行面积,但是既往B级蠕虫变种。
D级 有极少量感染流行,但有一定潜在威胁。
E级 没有发现感染流行。
附:Trojan-Proxy.Win32.Ranky.fv分析
