這是一個 c / c++ 編寫的 IRC 後門程式,該病毒運行後首先動態獲取需要的的API的地址並保存。並創建互斥量"fuck3rz",確保只一個實列在運行。
基本介紹
- 中文名:backdoor.win32.ircbot.bbu
- 破壞力:低
- 傳播級別:低
- 清除難度:困難
基本程式,傳播過程,
基本程式
“IRC波特變種BBU”(backdoor.win32.ircbot.bbu)病毒技術分析
病毒名稱:backdoor.win32.ircbot.bbu
感染的作業系統:Windows XP, Windows NT, Windows Server 2003, Windows 2000
破壞手段:惡意操縱感染機器
該病毒獲取當前進程的全路徑名,若路徑中包含"InsideTm"則退出。
該病毒把自己拷貝到%SystemDir%\\drivers\\wmiadapi.exe啟動該進程進程。若拷貝失敗,則設定檔案時間信息與explorer.exe相同。
傳播過程
該病毒會設定如下註冊表鍵值:
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
\StandardProfile\Awmiadapi.exe:*:Enabled:AutoDiscovery/AutoPurge (ADAP) Service
Software\Microsoft\Windows\CurrentVersion\Run
AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\drivers\\wmiadapi.exe
Software\Microsoft\Windows\CurrentVersion\RunServices
AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\drivers\\wmiadapi.exe
Software\Microsoft\OLE
AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\drivers\\wmiadapi.exe
SYSTEM\CurrentControlSet\Control\Lsa
AutoDiscovery/AutoPurge (ADAP) Service--〉%SystemDir%\\drivers\\wmiadapi.exe
之後該病毒創建一個執行緒來檢測多個防毒的進程,如果發現則將其結束。
之後該病毒會一次完成以下操作:
1、獲取網路狀態,使用dns/socket連線cftp.dawnsoul.info
3、進入shell命令循環
4、傳送IRC登入命令 NICK ?? USER ?? 0 0 :??
該病毒可以通過IRC來接受名,其支持的命令有:
命令格式:
nick_name(user):cmd2 cmd3 ... cmdn
!PING target
nick_name(user)
---------------
cmd2 cmd3 描述
+--------------+----------------+-------------
PING xxxx 類似echo,返回PONG xxxx
NOTICE
001
005
302
433
KICK
353
332
NICK
PART
QUIT
353
rnick -->返回nick_name "NICK %s" //%s->rand_num / pid
key --> 獲取OS的ProductID
die 332 -->進程退出
logout
gftp -->返回CFTP server: stfu.own3d.biz, port: 21, user: username, pass: password, file: sexy.exe.
R.e.c.o.n.n.e.c.t -->reconnect
d.i.s.c.o.n.n.e.c.t -->close
leave
status -->返回SexyGame ready. Up %dd %dh %dm. 系統已運行時間
ver -->返回SexyGame by !!!!
id -->返回fuck3rz
t sub -->列出運行的執行緒
pst -->返回playin p.store!,並通過pstorec.dll枚舉本機存儲信息
log
system -->獲取系統信息,mem,version,user,computer_name,time
driver -->枚舉驅動器信息
?
s
uptime -->已運行的時間
stop -->停止掃描
procs full -->創建執行緒,枚舉進程
bk on -->
bk off -->關閉Cleaner thread
sn on -->啟動嗅探執行緒
sn off -->關閉...
killproc proc_module -->關閉進程
killid proc_id -->關閉進程
FIND ip -->掃描
nick
j
p
r
killth
all
open file_path -->運行檔案
dns dns_name -->dns查詢
mIRCMD -->命令
pm
act
cyc 332
mode
repeat 332
delay 332
au -->程式升級,http下載並執行
exe path -->創建進程
du -->http下載並執行
find
sftp -->stfu.own3d.biz
安全建議:
3 不瀏覽不良網站,不隨意下載安裝可疑外掛程式。
4 不接收QQ、MSN、Emial等傳來的可疑檔案。
5 上網時打開防毒軟體實時監控功能。
6 把網銀、網遊、QQ等重要軟體加入到“瑞星帳號保險柜”中,可以有效保護密碼安全。
清除辦法:
1 . 瑞星防毒軟體清除辦法: