該病毒運行後,衍生病毒檔案到系統目錄下,添加註冊表自動運行項以跟隨系統引導病毒體。病毒體從指定伺服器下載病毒體到本機運行,連線 IRC 伺服器等待接收指令。枚舉本地網路地址,對目的地址 135 連線埠進行掃描予以溢出。此病毒可通過網路共享、弱口令傳播。
基本介紹
- 中文名:IRC後門
- 外文名:Backdoor.Win32.IRCbot.ace
- 病毒類型:後門類
- 公開範圍:完全公開
病毒信息,行為分析,清除方案,
病毒信息
病毒名稱: Backdoor.Win32.IRCbot.ace
檔案 MD5: AE08FBD92E55036EDC296D5BF99B5700
危害等級: 4
檔案長度: 73,317 位元組
感染系統: WinNT以上系統
開發工具: Microsoft Visual C++ 6.0
加殼類型: Krypton 0.5變形殼
行為分析
1 、複製自身到 %system32% 資料夾下,並按內置列表隨機重新命名。
內置列表:
winamp.exe
winIogon.exe
firewall.exe
spooIsv.exe
spoolsvc.exe
Isass.exe
algs.exe
logon.exe
iexplore.exe
csrs.exe
2 、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:字串: "Windows Logon Application"="C:\WINDOWS\System32\( 病毒名 )"
3 、衍生自刪除 bat 檔案在當前路徑下,並調用刪除自身, bat 檔案名稱為隨機生成。
4 、 IRC 伺服器名:
5 、加入的 IRC 頻道名:
頻道名: #last
頻道名: #rs2
用戶名:隨機
密碼:空
6 、 IRC 服務端可回響下列命令:
nick :設定暱稱
quit :退出
join :加入一個頻道
open :
user: 設定用戶名
unkuser %s %s %s :%s
pass: 設定口令
notice %S privmsg %s:
privmsg %s
notice %s :privmsg %s :
message
send
pong: 客戶端回應 pong 命令
dcc send %s (%s): 傳送檔案
get /%s http/1.0\n\nhost: %s\n\n\n\n
mode %s +smntu :修改頻道或用戶模式
mode %s +xi001mode %s +smntu
userhost %smode %s +xi001mode %s +smntu
userhost %smode %s +xi001mode %s +smntu
451userhost %smode %s +xi001mode %s +smntu
302451userhost %smode %s +xi001mode %s +smntu
// 掃描命令模式
-x 3 2000 fh 1024 jan 1 0:00 .\n\ndrwxr-xr-x 3 2000 fh 1024 jan 1 0:00 ..
\n\n-rwxr-xr-x 3 2000 fh %u jan 1 0:00 %s\n\n
226 -\n\n-x 3 2000 fh 1024 jan 1 0:00 .\n\ndrwxr-xr-x 3 2000 fh 1024
jan 1 0:00 ..\n\n-rwxr-xr-x 3 2000 fh %u jan 1 0:00 % s\n\n
226 -\n\n-x 3 2000 fh 1024 jan 1 0:00 .\n\ndrwxr-xr-x 3 2000 fh 1024
jan 1 0:00 ..\n\n-rwxr-xr-x 3 2000 fh %u jan 1 0:00 % s\n\n
7 、自動連線以下 IRC 伺服器列表:
6*.4*.2*6.*6:5190
6*.4*.2*6.*6:10324
6*.4*.2*6.*6:8080
6*.4*.2*6.*6:1863
6*.4*.2*6.*7:5190
6*.4*.2*6.*7:8080
6*.4*.2*6.*7:10324
6*.4*.2*6.*7:1863
6*.4*.2*6.*8:10324
6*.4*.2*6.*8:1863
6*.4*.2*6.*8:5190
6*.4*.2*6.*8:8080
6*.4*.2*6.*9:5190
6*.4*.2*6.*9:10324
6*.4*.2*6.*9:8080
6*.4*.2*6.*9:1863
8 、下載伺服器地址及檔案:
72.10.167.74 (加拿大 紐賓士省 St.Quentin )
9 、枚舉本地網路地址,創建大量執行緒掃描,傳送 SYN 包到目的地址 135 連線埠,欲對目標地址
溢出攻擊:
135/TCP epmap // 協定信息
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用安天木馬防線斷開網路,結束病毒進程。
(2)刪除病毒衍生檔案:
刪除 %system32% 資料夾下的以下列表中的檔案:
winamp.exe
winIogon.exe
firewall.exe
spooIsv.exe
spoolsvc.exe
Isass.exe
lssas.exe
algs.exe
logon.exe
iexplore.exe
csrs.exe
(3)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值:字串: "Windows Logon Application"=
"C:\WINDOWS\System32\( 病毒名 )"