基本介紹
- 中文名:Backdoor/Norbot.ci
- 病毒類型:網路蠕蟲
- 危害等級:**
- MS03-026:DCOM RPC漏洞
- 影響平台:Win9X/2000/XP/NT/Me/2003
基本信息,傳播過程,
基本信息
Backdoor/Norbot.ci
病毒長度:
病毒類型:網路蠕蟲
危害等級:**
影響平台:Win9X/2000/XP/NT/Me/2003
利用的微軟漏洞包括:
MS03-026:DCOM RPC漏洞
MS03-007:WebDav漏洞
MS03-049:Workstation service緩衝區溢出漏洞
MS03-001:Locator service漏洞
傳播過程
1.複製並執行自身:%System%\regsvc32.exe
2.修改註冊表:
添加鍵值:"Generic Service Process"="regsvc32.exe"
到註冊表啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
3.感染系統中運行的進程,成功感染後會隱藏%System%\regsvc32.exe在進程內,導致每一個新生成的進程在記憶體中被感染,用戶無法發現蠕蟲。
4.終止反病毒和防火牆軟體進程以及下列進程。
taskmon.exe
bbeagle.exe
d3dupdate.exe
winsys.exe
ssate.exe
i11r54n4.exe
rate.exe
irun4.exe
Ssate.exe
5.修改 %System%\drivers\etc\hosts檔案,導致用戶不能訪問一些反病毒網站。
6.連線到一個IRC伺服器,用自己的IRC客戶端,做如下操作:
/攝取系統信息
/連線IRC伺服器
/連線特定的IRC頻道
/傳送訊息給IRC頻道的所有用戶
/通過IRC傳送系統檔案給特定的用戶
/下載並執行檔案
/盜取系統信息
/收集郵件地址
/盜取各種遊戲的CD Key
/連線FTP伺服器上傳檔案
/結束進程
/用SSH連線其它的系統
/作為SOCKS代理伺服器進行連線
7.探測下列共享並試圖取得共享許可權,以達到複製自身到已分享資料夾下進行傳播:
c$
d$
e$
print$
admin$
取得共享許可權使用的用戶名一部分是通過NetUserEnum()函式得到的。
8.如果感染病毒的計算機用戶訪問了http:/ /www.paypal.com,則病毒會試圖通過記錄用戶在PayPal(網上繳費)時的鍵擊來盜取註冊信息。此外它還能盜取AIM(美國線上的即時訊息)和AOL(美國線上服務)的註冊信息。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%Temp%為變數一般為:C:\Windows\TEMP (Windows 95/98/Me),
or C:\WINNT\Temp (Windows NT/2000), or
C:\Document and Settings\<UserName>\Local
Settings\Temp (Windows XP);
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP)。