Backdoor/Norbot.w試圖通過容易破解密碼的網路共享進行傳播,允許攻擊者用一個特定的IRC頻道訪問被感染的計算機。
基本介紹
- 中文名:Backdoor/Norbot.w
- 病毒長度:大約 280KB
- 病毒類型:後門
- 危害等級:**
- 影響平台:Win9X/2000/XP/NT/Me/2003
基本信息,傳播過程,
基本信息
Backdoor/Norbot.w
病毒長度:大約 280KB
病毒類型:後門
危害等級:**
影響平台:Win9X/2000/XP/NT/Me/2003
MS03-007:WebDav漏洞,利用TCP連線埠80
MS03-049:Workstation service緩衝區溢出漏洞,利用TCP連線埠445
MS03-043:Messenger Service緩衝區溢出漏洞
MS03-001:Locator service漏洞,利用TCP連線埠445
MS01-059:UPnP漏洞
MS02-061:Microsoft SQL Server 2000和MSDE 2000審計漏洞,利用UDP連線埠1434
傳播過程
1.複製自身為:%System%\svdhost32.exe。
2.修改註冊表:
添加鍵值"Hotfix Updat"="svdhost32.exe"到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的下列值:
"Ssate.exe"
"rate.exe"
"d3dupdate.exe"
"TaskMon"
"Explorer"
3.刪除檔案:
%System%\irun4.exe
%System%\i11r54n4.exe
%System%\winsys.exe
%System%\bbeagle.exe
%System%\taskmon.exe
4.刪除upnphost系統服務。
5.修改檔案%System%\drivers\etc\hosts,導致連線一些網站失敗。
6.在隨機選擇的TCP連線埠運行FTP服務。
7.連線一個IRC頻道等待遠程指令,從而允許攻擊者執行下列操作:
通過FTP和HTTP下載上傳檔案
執行命令
重起計算機
列舉並結束進程
列舉並終止服務
進行HTTP flood、 ICMP flood、 SYN flood、 UDP flood攻擊
搜尋保存在計算機上的郵件地址
通過HTTP搜尋郵件地址
搜尋假設的URL
吸收HTTP、FTP和IRC流量
8.通過向一些站點傳送HTTP GET請求來測量被感染計算機的連線速度。
9.利用一些蠕蟲打開的後門連線埠進行傳播。
10.刪除一些病毒添加的檔案以及註冊表鍵值,並結束它們的相關進程,還結束一些反病毒和防火牆軟體相關的進程。
12.盜取Windows的生產ID號和一些視頻遊戲的CD keys。
13.利用下列共享複製自身到他人計算機:
c$ d$ e$ print$ admin$
取得共享許可權使用的用戶名和密碼一部分是通過NetUserEnum()函式得到的。