病毒綜述
病毒名稱: Backdoor.Win32.IRCBot.et
病毒類型: 後門
檔案 MD5: FB7B3CF4C4023FBEB7A4E4CCF5FE2D0B
公開範圍: 完全公開
危害等級: 中
檔案長度: 51,326 位元組
感染系統: windows 2000 及以上版本
開發工具: Microsoft Visual C++
加殼類型: yoda's Protector
命名對照: Symentec[無]
Mcafee[無]
病毒描述
該病毒屬後門類,病毒主要通過微軟漏洞ms05-039進行傳播。病毒運行後在系統資料夾下新建%usrnt%\windrg32.exe,而後修改註冊表檔案,病毒會嘗試連線三個網站,等待並接受惡意者的控制,病毒內置一個字典,嘗試破解用戶的口令。該病毒還具有後門功能,病毒運行後會開啟IRC信道,監聽本地6667連線埠,病毒還會刪除%Program Files%\下的一些流氓軟體,遍歷當前進程並嘗試結束一些進程。病毒利用ms05-039掃描網路,並開啟本地ftp,提供被溢出的主機下載病毒副本,達到傳播的目的。該病毒對用戶有一定危害。
行為分析:
1、複製自身到%windir%\usrnt\windrg32.exe
2、修改註冊表檔案:
新建如下鍵值:
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\Run
鍵值:字串:"WinDrg32" = %SYSTEM%\USRNT
\WINDRG32.EXE
嘗試刪除註冊表中以下位置的鍵值:
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\RunServices
列表如下:
WeatherOnTray
EbatesMoeMoneyMaker
AutoUpdater
eZmmod
Trickler
CMESys
QuickTime Task
saie
180ax
TkBellExe
ViewMgr
TBPS
WinTools
tov
sais
msbb
lgbibsn
tov
3、病毒內置一個字典,嘗試破解用戶的口令,字典如:
abc123
54321
654321
88888888
12345678
123456
12345
qsdfgh
asdfgh
AZERTY
azert
qwertz
qwertyui
qwerty
qwert
passe
passwort
password
owner
administrator
admi
4、遍歷當前進程,嘗試終止某些進程,如:
qttask.exe
realsched.exe
ViewMgr.exe
NHUpdater.exe
cxtpls.exe
cmesys.exe
5、病毒運行後會嘗試連線以下網站,開啟本地6667連線埠,並在感染主機上開啟irc信道:
spook*****t.afraid.org
spook*****et.udp-flood.com
spook*****et.m00p.org
6、掃描網路,嘗試溢出沒有安裝相關補丁的系統,並提供ftp下載病毒副本。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程:
windrg32.exe
(2) 刪除病毒檔案:
% usrnt %\windrg32.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
鍵值:字串:"WinDrg32" = %SYSTEM%\USRNT\WINDRG32.EXE
