当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
Backdoor.Win32.IRCBot.afm(video.exe)病毒分析解决 | |||
2007-9-25 11:59:36 文/孤独更可… 出处:孤独更可靠_博客 | |||
文件名称:video.exe 文件大小:40960 bytes AV命名:Backdoor.Win32.IRCBot.afm (Kaspersky) 加壳方式:未知 编写语言:Microsoft Visual C++ 病毒类型:IRC后门 文件MD5:c06d070c232bc6ac6346cbd282ef73ae 行为分析: 1、释放病毒副本: %Srstemroot%system32\firewall.exe 40960 字节。 (文件名应该是随机的,不一定是这个)。 压缩副本病毒,保存为压缩包。并随机命名,可能是: IMG0007.PICTUREUPLOAD.COM 2、修改注册表,开机自启: HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run Registry value: Windows Network Firewall Type: REG_SZ 指向:%Srstemroot%system32\firewall.exe 3、添加到系统防火墙的忽略列表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\List 键名为:%Srstemroot%system32\firewall.exe,实现穿墙。 4、连接72.10.167.**IRC服务器,接受远程控制,可在被控端终止任意进程,并利用为跳板或DDOS攻击。 可能接受以下命令: QUIT 5、下载其他木马,技术行为都差不多,随机命名的。 6、枚举局域网络资源,尝试利用IPC、print、Admin等共享传播病毒,以下面字典猜用户和口令: db1234databasepassword databasepass dbpassword dbpass domainpassword domainpass hello hell love money slut ** ** exchange loginpass login win2000 winnt winxp win2k win98 windows oeminstall accounting accounts letmein outlook qwerty temp123 temp null default changeme demo test 2005 2004 2001 secret payday deadline work 1234567890 123456789 12345678 1234567 123456 12345 1234 pass pass1234 passwd password password1 若成功,则拷贝病毒副本至对方目录,可能是: C:\Documents and Settings\All Users\Documents\ 7、利用系统漏洞传播(Lsass、RPC等漏洞),攻击的IP范围: 124.72.143.173(起始) - 随机。 被攻破的计算机可能被传播该病毒。 8、尝试以管理员身份连接其他服务器,可能是下列未授权的用户名:
如成功,则读取并试图破解FlashFXP\sites.dat。 然后可能会将病毒文件复制到该服务器。 9、尝试盗一些CD-Key,可能是Unreal3、World Of Warcraft等。 解决方法: 1、到down.45its.com下载sreng2.zip 2、重启,按F8进入安全模式。 3、打开SREng,删除注册表: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <Windows Network Firewall><C:\winnt\system32\firewall.exe> [] PS:可能键值也文件名不同。注意区别哈,不懂的话,把日志发到反毒区。。 4、一定要打齐系统漏洞。。 |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |