病毒名稱
病毒名稱:蠕蟲病毒Win32.Petribot.AMJ
其它名稱:W32/SDBot.WFF (F-Secure), WORM_SDBOT.WIE (Trend), W32/Sdbot-DFJ (Sophos) , Backdoor.Win32.SdBot.bhk (Kaspersky), Trojan:Win32/Ircbrute!162A (MS OneCare)
病毒屬性:蠕蟲病毒危害性:中等危害流行程度:中
具體介紹
病毒特性
Win32/Petribot.AMJ是一種IRC控制後門的蠕蟲,能夠未經授權的訪問被感染機器。它會通過很多不同的軟體漏洞並利用弱口令進入默認共享進行傳播。它是大小為515,584位元組的 Win32 可運行程式。
感染方式
運行時,Win32/Petribot.AMJ 複製"regent.exe"到%Windows% 目錄,並作為一個服務安裝,為了在每次系統啟動時自動運行病毒。服務有以下特徵:
Service name: Register Manager
Display name: Register Manager
Path to executable: %Windows%\regent.exe
Startup type: Automatic
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\ = "%Windows%\regent.exe"
註:'%Windows %'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。
這個變體還會生成以下註冊表,為了儲存它自己使用的數據:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\12
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\13
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\14 = ""
傳播方式
通過漏洞傳播
Win32/Petribot.AMJ通過攻擊以下系統漏洞和第三方軟體漏洞進行傳播:
Microsoft Windows LSASS buffer overflow vulnerability (TCP 445連線埠)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP 135, 445連線埠)
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank 'sa' password vulnerability (TCP 1433連線埠)
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q321081
FTPD buffer overflow vulnerabilities
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?ID=1833
通過網路共享傳播
Win32/Petribot.AMJ 通過Windows 檔案共享感染遠程機器。它通過探測TCP 139 和 445連線埠掃描目標機器。如果它能夠連線這兩個連線埠的任意一個,它就會連線Windows 共享:
\\\ipc$
這裡的是病毒嘗試感染的機器名。
如果連線成功,它就會嘗試獲取目標機器的用戶名列表,隨後使用這些用戶名訪問系統。如果它不能獲取用戶名列表,它就會嘗試使用以下用戶名:
administrator
administrador
administrateur
administrat
admins
admin
staff
root
computer
owner
student
teacher
wwwadmin
guest
default
database
dba
oracle
db2
蠕蟲嘗試複製到以下位置:
Admin$
Admin$\system32
c$\winnt\system32
c$\windows\system32
d$\winnt\system32
d$\windows\system32c$\
d$\
e$\
f$\
g$\
h$\
IPC$
如果成功連線,蠕蟲就會複製到目標機器,並安排一個遠程任務,在目標機器上運行蠕蟲的副本。
危害
後門功能(連線埠:可變的)
Win32/Petribot.AMJ包含後門功能,允許未經授權的訪問,並控制被感染機器。它通過IRC控制,連線到不同的伺服器、連線埠和信道。利用後門,Petribot.AMJ的控制者可能執行以下操作:
列出並停止執行緒;
獲取mIRC 信息,並控制mIRC;
添加/刪除/讀取註冊表鍵值;
從註冊表獲取HTTP Mail 和 POP3 mail 的帳戶名;
獲取系統信息(例如:驅動器,記憶體,IP位址,用戶名等);
添加/刪除/運行檔案;
瀏覽驅動器/目錄;
通過FTP下載/上傳檔案;
執行DNS 查詢;
在其它的IRC host/channel 上啟動slave bots;
列出/終止進程;
獲取 bot 版本/狀況;
改變連線埠;
在任意連線埠啟動一個SOCKS proxy ;
在TCP或UDP連線埠探測信息包來監控機器的網路流量;
退出bot ;
將IRC 信息加密;
掃描IP位址段的機器漏洞進行攻擊;
啟動DoS 攻擊(Denial of Service),例如UDP flood, ICMP flood 和 ACK FLOOD。
其它信息
蠕蟲訪問http://www.google.com來確定是否能夠訪問Internet。
蠕蟲使用以下站點來確定本地機器的外部IP:
http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/prxjdg.cgi
http://www.kinchan.net/cgi-bin/proxy.cgi
http://www.pistarnow.is.net.pl/azenv.php
http://cgi.break.power.ne.jp/check/prxjdg.cgi
http://www.proxy4free.info/cgi-bin/prxjdg.cgi
http://69.59.137.236/cgi/prxjdg.cgi
http://tutanchamon.ovh.org/azenv.php
http://www.proxy.us.pl/azenv.php
http://test.anonproxies.com/azenv.php
http://www.nassc.com/pr.php
http://www.littleworld.pe.kr/azenv.php
http://www.anonymitytest.com/cgi-bin/azenv.pl
http://tn0828-web.hp.infoseek.co.jp/cgi-bin/proxyjudge.cgi
清除:
KILL安全胄甲Vet 30.7.3717版本可檢測/清除此病毒。
