Backdoor.Win32.PoeBot.c病毒運行後,衍生病毒檔案到系統目錄下並添加註冊表隨機運行項以達到隨系統啟動病毒體。此病毒是一個工作在 Windows平台下的網路蠕蟲與IRC後門結合類程式,病毒加入IRC頻道並等待遠端用戶傳送遠程命令。該病毒通過網路共享與弱口令傳播自身,也可通過LSASS漏洞(MS04-011)傳播。
基本介紹
- 外文名:Backdoor.Win32.PoeBot.c
- 病毒類型: 後門類
- 公開範圍: 完全公開
- 危害等級:4
基本信息,行為分析,清除方案,
基本信息
病毒名稱: Backdoor.Win32.PoeBot.c
中文名稱: Hasidho
病毒類型: 後門類
檔案MD5 : 251050E698E7D7225309D6B1E8241876
公開範圍: 完全公開
危害等級: 4
檔案長度: 加殼後 81,920 位元組,脫殼後307,200 位元組
感染系統: Win9X以上系統
開發工具: Microsoft Visual C++ 3.0
加殼類型 : Packman V1.0 -> Brandon LaCombe
命名對照: BitDefender [Backdoor.Poebot.O] Avast![ Win32:Poebot-D]
AVG[Trojan horse BackDoor.Generic3.OMM] McAfee[W32/Pate.dr]
行為分析
1 、衍生下列副本與檔案:
%System32%\winIogon.exe
2 、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Windows Logon Application
Value: String: "%WINDir%\System32\winIogon.exe"
3 、創建 5 個執行緒監聽網路,等待接收遠程 IRC 命令:
winIogon.exe : 588 Server:nap.wideopenwest.com
(6*.5*.1*4.*0):2569:[d53-64-50-184]
4 、病毒運行後,進行如下操作,由於遠端伺服器關閉,故無更多行為:
USER nurmusud nurmusud nurmusud :Hasidho Omrygel
NICK [LZ]xPtIZHrT
MODE [LZ]xPtIZHrT +xi
JOIN #zebras
USERHOST [LZ]xPtIZHrT
MODE #zebras +smntu
PING :hub.17005.com
PONG :hub.17005.com
5 、受感染用戶可能被利用進行如下操作:
對某人或某伺服器進行分散式拒絕服務攻擊( Ddos )
捕獲用戶數據包
盜取用戶軟體註冊相關信息
創建 FTP 服務
劫持 FTP 客戶端軟體
進行連線埠掃描
枚舉終端用戶進程與服務信息
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用 安天木馬防線 “進程管理”關閉病毒進程:
winIogon.exe
(2) 刪除並恢復病毒添加與修改的註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Windows Logon Application
Value: String: "%WINDir%\System32\winIogon.exe"
(3) 刪除病毒釋放檔案:
%System32%\winIogon.exe
