基本介紹
- 中文名:Backdoor/LeakerBot.o
- 病毒長度:138,752 bytes ,變長
- 病毒類型:後門
- 影響平台:Win2000/XP/NT
病毒概況,病毒長度,病毒類型,危害等級,影響平台,利用的微軟漏洞包括,傳播過程及特徵,
病毒概況
病毒長度
138,752 bytes ,變長
病毒類型
危害等級
**
影響平台
Win2000/XP/NT
利用的微軟漏洞包括
MS03-026:DCOM RPC漏洞
MS03-049:Workstation service緩衝區溢出漏洞
MS04-011:LSASS漏洞
傳播過程及特徵
1.複製自身為:
%System%\msiwin84.exe
%System%\Microsoft.exe
%System%\WinMsrv32.exe
%System%\soundcontrl.exe
%System%\msawindows.exe
2.修改註冊表:
添加下列鍵值:
"Microsoft Update"="msiwin84.exe"
"Microsoft Update"="Microsoft.exe"
"WinMsrv32"="WinMsrv32.exe"
"soundcontrl"="soundcontrl.exe"
"Microsoft Update"="msawindows.exe"
到註冊表啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
3.修改%System%\drivers\etc\hosts檔案,添加127.0.0.1 www.mcafee.com類信息,導致用戶訪問一些網站失敗,一般都是反病毒類網站。
4.試圖終止下列進程:
irun4.exe
Ssate.exe
i11r54n4.exe
winsys.exessgrate.exe
d3dupdate.exe
bbeagle.exerate.exe
5.傳送包含大量數據的HTTP POST信息到一些特定的host,每條POST信息250 KB左右。
6.打開隨機選擇的TCP連線埠進行連線,並傳送病毒副本檔案到此連線埠。
7.連線遠程IRC伺服器,在此等待攻擊者發出的命令,並允許攻擊者在感染病毒的計算機上有下列操作:
執行命令
通過FTP和HTTP搜尋檔案
從註冊表中獲取數據
重啟計算機
列出進程表
結束進程
終止Windows服務
進行HTTP flood, ICMP flood, SYN flood,和UDP flood攻擊
從計算機上搜尋合法的郵件地址
通過HTTP獲取郵件地址表
盜取Windows產品ID號和一些遊戲的CD Keys
增加URLSniff HTTP, FTP, 和IRC流量
9.試圖利用內置的用戶名/密碼庫和用NetUserEnum()函式得到的用戶名獲取管理員許可權,並複製自身到下列共享進行傳播。
c$
d$
e$
print$
admin$
ipc$
並遠程控制病毒執行的時間。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP)。
