Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法

  文件名称:video.exe

  文件大小:40960 bytes

  AV命名:Backdoor.Win32.IRCBot.afm (Kaspersky)

  加壳方式:未知

  编写语言:Microsoft Visual C++

  病毒类型:IRC后门

  文件MD5:c06d070c232bc6ac6346cbd282ef73ae

  行为分析:

  1、释放病毒副本:

  %Srstemroot%system32firewall.exe 40960 字节。

  (文件名应该是随机的,不一定是这个)。

  压缩副本病毒,保存为压缩包。并随机命名,可能是:

  IMG0007.PICTUREUPLOAD.COM

  IMG0007

  game

  video

  photoalbum

  2、修改注册表,开机自启:

  HKLMSOFTWAREMICROSOFTWindowsCURRENTVERSIONRun

  Registry value: Windows Network Firewall Type: REG_SZ

  指向:%Srstemroot%system32firewall.exe

  3、添加到系统防火墙的忽略列表:

  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsListList

  键名为:%Srstemroot%system32firewall.exe,实现穿墙。

  4、连接72.10.167.**IRC服务器,接受远程控制,可在被控端终止任意进程,并利用为跳板或DDOS攻击。

  可能接受以下命令:

  QUIT

  PART

  JOIN

  TOPIC

  NOTICE

  PRIVMSG

  ddos

  servu

  serv u

  serv-u

  clone

  flood

  5、下载其他木马,技术行为都差不多,随机命名的。

  6、枚举局域网络资源,尝试利用IPC、print、Admin等共享传播病毒,以下面字典猜用户和口令:

  db1234

  databasepassword

  databasepass

  dbpassword

  dbpass

  domainpassword

  domainpass

  hello

  hell

  love

  money

  slut

  **

  **

  exchange

  loginpass

  login

  win2000

  winnt

  winxp

  win2k

  win98

  windows

  oeminstall

  accounting

  accounts

  letmein

  outlook

  mail

  qwerty

  temp123

  temp

  null

  default

  changeme

  demo

  test

  2005

  2004

  2001

  secret

  payday

  deadline

  work

  1234567890

  123456789

  12345678

  1234567

  123456

  12345

  1234

  pass

  pass1234

  passwd

  password

  password1

  若成功,则拷贝病毒副本至对方目录,可能是:

  C:Documents and SettingsAll UsersDocumentsc:windowssystem32

  c:winntsystem32

  c:windows

  c:winnt

  7、利用系统漏洞传播(Lsass、RPC等漏洞),攻击的IP范围:

  124.72.143.173(起始) - 随机。

  被攻破的计算机可能被传播该病毒。

  8、尝试以管理员身份连接其他服务器,可能是下列未授权的用户名:

  staff

  teacher

  owner

  student

  intranet

  main

  office

  control

  siemens

  compaq

  dell

  cisco

  oracle

  data

  access

  database

  domain

  backup

  technical

  mary

  katie

  kate

  george

  eric

  none

  guest

  chris

  neil

  brian

  susan

  luke

  peter

  john

  mike

  bill

  fred

  wwwadmin

  oemuser

  user

  homeuser

  home

  internet

  root

  server

  linux

  unix

  computer

  admin

  admins

  administrat

  administrateur

  administrador

  administrator

  如成功,则读取并试图破解FlashFXPsites.dat。

  然后可能会将病毒文件复制到该服务器。

  9、尝试盗取一些CD-Key,可能是Unreal3、World Of Warcraft等。

  解决方法:

  1、下载sreng2.zip

  2、重启,按F8进入安全模式。

  3、打开SREng,删除注册表:

  [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

   []

  PS:可能键值也文件名不同。注意区别哈,不懂的话,把日志发到反毒区。。

  4、一定要打齐系统漏洞。。

  您可能感兴趣的文章: