病毒屬性:蠕蟲病毒危害性:中等危害流行程度:中
具體介紹:
病毒特性:
Win32/Nirbot.A是一種IRC控制的後門,能夠未經授權的訪問被感染機器,它還會顯示類似蠕蟲的功能。感染方式:
第一次運行時,Nirbot.A複製到以下位置:%System%\lemsrv.exe
並設定以下註冊表鍵值,以確保在每次系統啟動時運行病毒:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\LEMSRV = "%System%\lemsrv.exe"
Nirbot.A不斷的查找並設定以上註冊表鍵值。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
傳播方式:
通過後門控制手工啟動傳播。
Nirbot.A以掃描易受攻擊的目標機器開始傳播程式。蠕蟲為目標IP位址生成任意值。
Nirbot.A通過攻擊Microsoft Windows Server Service (MS06-040)漏洞進行傳播。如果攻擊成功,它會在目標機器上運行一個很小的代碼,用來連線後面的源,從而獲取蠕蟲的可運行程式。為了能夠給目標提供蠕蟲副本,蠕蟲在源機器上運行一個HTTP伺服器。如果在網路上攻擊機器,並不能通過新的攻擊主機到達,它就會從66.29.116.82 IP位址獲取蠕蟲副本。
可以到以下站點下載相關的漏洞補丁:
http://www.microsoft.com/china/technet/security/bulletin/ms06-040.mspx
危害:
後門功能
Nirbot.A是一種IRC控制的後門,為了能夠控制被感染的機器,它嘗試連線到一個預先確定的IRC伺服器所在的域phatcamp.org,並加入特定的信道。一旦被感染機器被控制住,黑客就可能指示Nirbot.A執行以下惡意操作:
獲取系統信息,例如作業系統的詳細信息;
從Internet下載並運行檔案;
在被感染機器上運行一個 SOCKS 代理;
執行拒絕服務攻擊;
在被感染機器上運行命令;
更新病毒;
刪除病毒。
清除:
KILL安全胄甲InoculateIT 23.73.84,Vet 30.3.3246版本可檢測/清除此病毒。
相關條目
特洛伊病毒Win32.SillyDl.IQ
Win32.Kipis.A蠕蟲病毒
蠕蟲病毒Win32.Luder.U
特洛伊病毒Win32.Chepvil.C
蠕蟲病毒Win32.Luder.O
蠕蟲病毒Win32.Robzips.M
蠕蟲病毒Win32.Duiskbot.AF
