基本介紹
- 中文名:Backdoor.Win32.IRCBot.st
- 危害等級::B+
- 檔案長度::9,609 位元組
- 公開範圍::完全公開
病毒標籤,行為分析,清除方案,臨時解決方案,禁止139和445連線埠方法,補丁下載,危害等級列表如下,
病毒標籤
病毒名稱:Backdoor.Win32.病毒類型:後門
危害等級:B+
檔案長度:9,609 位元組
檔案MD5:9928a1e6601cf00d0b7826d13fb556f0
公開範圍:完全公開
感染系統:Win9x以上所有版本
開發工具:Microsoft Visual C++ 6.0
加殼類型:MEW
行為分析
1、病毒運行後會複製自身到以下地址
%SYSTEM32%\wgareg.exe
2、在 %Windir%\Debug下釋放一個DCPROMO.LOG檔案
3、病毒在運行一段時間後會下載一個nrcs.exe(Trojan-Proxy.Win32.Ranky.fv)檔案
4、連線IRC地址:bniu.(58.81.137.157:18067)
port:18067 頻道名:#n1 密碼:nert4mp1 頻道名:#p 密碼:無
此域名為動態域名以下是對應的IRC IP列表
IRC IP 61.189.243.240:18067
IRC IP 61.163.231.115:18067
IRC IP 58.81.137.157:18067
IRC IP 222.68.249.164:18067
IRC IP 218.61.146.86:18067
IRC IP 211.154.135.30:18067
IRC IP 202.121.199.200:18067
5、連線伺服器的域名:media38.119.88.27:80)美國
port:80
下載http://media./l9rd6g.jpg 拷到本地。重命名檔案nrcs.exe
6、創建一個服務
服務名稱:Windows Genuine Advantage Registration Service
描述:wgaregEnsures that your copy of Microsoft Windows is genuine and registered.Stopping or disabling this service will result in system instability.
映像路徑
c:\windows\system32\wgareg.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify = dword:00000001
AntiVirusDisableNotify = dword:00000001
FirewallDisableNotify = dword:00000001
AntiVirusOverride = dword:00000001
FirewallOverride = dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\lanmanserver\parameters
AutoShareWks = dword:00000000
AutoShareServer = dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service s\wgareg\Type=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\Start=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\ErrorControl=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\ImagePath=C:\WINDOWS
\system32\wgareg.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\DisplayName=Windows Genuine Advant
創建服務
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\DisplayName=Windows Genuine Advantage Registration Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\Security\Security=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\ObjectName=LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\FailureActions=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\Description=Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM
新鍵值: 字元串: "N"
原鍵值: 字元串: "Y"
8、連線到一個IRC伺服器,等待惡意者的連線並接受控制,命令說明如下:
IRC命令如:
join 創建或加入閒聊室
Nick 更改別名
QUIT 退出
對目標主機的操作:
下載檔案
發起拒絕服務(DDOS)攻擊
執行基本的RIC命令
執行系統掃描
9、採用TCP協定,按照31個IP更換一次IP段的方式,掃描系統。
例如:
222.171.159.0
.
.
222.171.159.31
接著掃描
222.4.159.0
.
.
222.4.159.31
然後再掃描
222.171.159.32
.
.
222.171.159.63
接著掃描
222.4.159.32
222.171.159.254
1038
1069
1070
1101
1104
1135
1136
1518 445
445
445
445
445
445
445
445
--------------------------------------------------------------------------------
清除方案
臨時解決方案
1、防火牆處阻止TCP連線埠:139、445
2、啟用TCP/IP篩選功能進行過濾。
如何禁止139和445連線埠
禁止139和445連線埠方法
一、右擊網上鄰居選擇屬性
二、右擊本地連線選擇屬性如圖
三、選擇internet協定(Tcp/ip)
四、點擊高級選擇選項
五、選擇屬性
1、P選項中選擇只允許如圖
2、選擇完之後把本機所需要用的連線埠添加到上
如本機有ftp和http那么就添加21連線埠和80連線埠
選擇添加把21和80連線埠添加進去
如果本機還有其它連線埠要開可以繼續添加
3、使用IPSec來阻止受影響的連線埠訪問。
補丁下載
中文Windows 2000 Service Pack 4:
http://download.idownload/f/2/f/f2f6f032-b0db-459d-9e89-fc0218973e73/Windows2000-KB921883-x86-CHS.EXE
中文Windows XP Service Pack 1 & Service Pack 2:
http://downloaddownload/3/1/b/31be1ef4-18e0-44a1-bc80-1753b8b43528/WindowsXP-KB921883-x86-CHS.exe
中文Windows Server 2003 & Service Pack 1:
http://downloadownload/3/1/e/31e1b295-80cf-47fb-be65-c542a55bc1cd/WindowsServer2003-KB921883-x86-CHS.exe
Windows XP Professional x64 Edition:
http://downloadownload/0/f/9/0f9eb45e-cb70-40dd-8506-8cdf226731f7/WindowsServer2003.WindowsXP-KB921883-x64-ENU.exe
注:
危害等級列表如下
A級 大面積感染流行,並具有以下條件中的任意一個給網路造成嚴重壓力、開有後門、反制AV技術。
B級 有一定的感染流行面積,或者有鮮明的技術特點值得進一步關注,或為既往A級蠕蟲比較成熟的變種
C級 有少量感染流行,或雖然有一定感染流行面積,但是既往B級蠕蟲變種。
D級 有極少量感染流行,但有一定潛在威脅。
E級 沒有發現感染流行。
