基本介紹
- 中文名:Backdoor/Spyboter.ap
- 外文名:後門/ Spyboter.ap
- 病毒長度:變長
- 病毒類型:木馬
基本信息,傳播過程及特徵,
基本信息
病毒長度:變長
病毒類型:木馬
危害等級:*
影響平台:Win9X/2000/XP/NT/Me
Backdoor/Spyboter.ap使木馬作者完全控制受感染的計算機,利用DCOM RPC漏洞進行傳播。
傳播過程及特徵
1.生成資料夾:C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS,並在此目錄下複製檔案Bot.rar。
2.將WinOLE.exe(mIRC客戶端程式補丁)作為一項服務運行,並通過註冊表HKEY_LOCAL_MACHIN\Software\Classes掛鈎於IRC擴展名的檔案,達到一開始運行聊天工具便調用WinOLE.exe檔案的目的。
3.運行下列檔案:
Dhcpp.exe --- TFTP服務
Nctl.exe --- FTP服務
Eeents.exe --- IRC代理服務
4.修改註冊表:
/設註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\TFTPD32
下的鍵值為:
"BaseDirectory"="C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS"
"TftpPort"="00000045"
"Hide"="00000001"
"WinSize"="00000000"
"Negociate"="00000000"
"DirText"="00000000"
"ShowProgressBar"="00000000"
"Timeout"="00000003"
"MaxRetransmit"="00000006"
"SecurityLevel"="00000000"
"UnixStrings"="00000000"
"LocalIP"=""
"Beep"="00000000"
"VirtualRoot"="00000000"
"Services"="00000003"
"TftpLogFile"=""
"SaveSyslogFile"=""
/設註冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
下的鍵值為:"DisableWebDAV"="00000001"
/設註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
下的鍵值為:
"EnableDCOM"="N"
"EnableRemoteConnect"="N"
4.連線特定的IRC伺服器並加入一個頻道,在此監聽木馬作者發出的指令。利用DCOM RPC漏洞,通過連線隨機產生的IP位址找到目標計算機進行監聽其TCP 連線埠135,一旦成功它便開始向目標計算機傳輸數據,並創建資料夾C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS ,然後在此目錄下利用TFTP引入木馬組件bot.rar,unrar.bat和unrar.exe,並運行木馬自身。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%Program Files%一般為C:\Program Files;
%Temp%一般為C:\Windows\Temp 或 C:\Documents and
Settings\<current user>\Local Settings\Temp;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。