Backdoor.Win32.VanBot.ax:Backdoor.Wi -百科知識中文網

Backdoor.Win32.VanBot.ax

病毒名稱： Backdoor.Win32.VanBot.ax
中文名稱： IRC後門
病毒類型：後門類
檔案 MD5： A1053B6AFA67509CFF9F5B9AD166F316
公開範圍：完全公開
危害等級：高
檔案長度： 56,440 位元組
感染系統： WinNT4以上系統
開發工具： Microsoft Visual C++ 6.0
加殼工具：未知殼
命名參考： SOPHOS[W32/Vanebot-AW]
病毒描述：該病毒運行後，衍生病毒檔案到系統目錄下，添加註冊表自動運行項以隨機引導病毒體。創建大量執行緒用於掃描用戶所在網路，若發現存默認共享或弱口令則傳播自身。此病毒為一個利用Windows平台下IRC協定的網路蠕蟲，受感染用戶可能會被操縱進行Ddos攻擊、遠程控制、傳送垃圾郵件、創建本地Tftp等惡意行為。

行為分析

1 、衍生下列副本與檔案：
%System32%\iexplorer.exe
%System32%\jhxn.exe
2 、新建註冊表鍵值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced
DHTML Enable
Value: String: "%WinDir%\System32\ jhxn.exe "//此處檔案名稱為隨機生成
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft
Internet Explorer
Value: String: "%WinDir%\System32\ iexplore.exe"//此處檔案名稱可能為
Firewall.exe
3 、創建大量掃描執行緒用以掃描存在漏洞的本地網路。
4 、自動連線的IRC伺服器：
220.198.59.***:9928
220.196.59.***:3938
67.43.236.**:2938
5 、連線IRC伺服器信息如下：
USER oursxb oursxb oursxb :qdvwwaiuhmiyjygl
NICK eIBnErNT
PING :66609D09
PONG :66609D09
:@_@ 001 eIBnErNT:
MODE eIBnErNT +xi
JOIN #siwa
USERHOST eIBnErNT
:x.hub.x 332 eIBnErNT
#siwa :=xAgVMf81RvN+xBBhG+xXwttpTsaSBfWeekvMkmkVNcbo20jZvmkCo7CUU
bRsdRPzz6wiS1OY8pcXg3d9ucVufq2bgQ1mvh+9OBJDwIuw1kOamPaw+2jw/CTaWV
QRjrX8Xl2Iph
6 、病毒體下載的地址：
Host: 220.196.59.***/packed_7711.exe
7 、創建自刪除批處理檔案刪除自身。
8 、病毒可利用以下漏洞傳播自身：
LSASS (MS04-011)，
SRVSVC (MS06-040)，
RPC-DCOM (MS04-012)，
PNP (MS05-039)，
網路共享及弱口令
註：%System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的
安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

1 、使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。
　　 (1)使用安天木馬防線結束病毒進程，病毒常生產的進程名為下列兩個：
iexplorer.exe
Firewall.exe
　　 (2)恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Advanced DHTML Enable
Value: String: "%WinDir%\System32\ jhxn.exe "
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Microsoft Internet Explorer
Value: String: "%WinDir%\System32\ iexplore.exe "
　　 (3) 刪除病毒釋放檔案：
%System32%\iexplorer.exe
%System32%\ jhxn.exe
　　 (4) 使用木馬防線的補丁功能打全補丁。

Backdoor.Win32.VanBot.ax