IRC波特变种AO(Backdoor.IRCBot.ao)病毒
病毒名称:“IRC波特变种AO(Backdoor.IRCBot.ao)”
警惕程度:★★★
病毒类型:后门程序
传播途径:通过局域网传播
受影响系统:WIN9X/NT/2000/XP。
运行后把自己复制到系统目录下,病毒文件名为“videons32.exe”,然后修改注册表实现开机自启动。病毒本身附带了IPC弱口令字典,可猜测共享密码,对局域网危害很大。该病毒是一个IRC后门,运行后连接特定IRC频道,等待控制方发来命令。
病毒会记录键盘输入,用这种方式偷窃用户的各种密码信息。攻击者可以操纵被感染的机器,对指定机器发送SYN攻击,使其崩溃。病毒还会屏蔽多种国际主流杀毒软件的网址,使用户无法升级自己的杀毒软件。
Backdoor.Rbot.dh.enc
破坏方法:Backdoor.Rbot病毒变种,使用VC++编写,病毒体很庞大,功能较多。
运行后将自己拷贝到系统目录,文件名为dosprmwin.exe。然后删除自身。
在注册表
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindows
CurrentVersionRunServices
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
下添加启动项,使自己能随着开机自启动。
运行后监听113号端口等待远程控制端连接。
通过各种漏洞传播自身,如:WebDav,DCom,lsass,MSsql,本身附带了还有IPC弱口令字典,可猜测共享密码,对局域网危害很大。
病毒同时是一个IRC后门,运行后连接特定IRC频道,等待控制方发来命令。
盗取游戏CD Key,如Soldier of Fortune II - Double Helix,Hidden & Dangerous 2,
Red Alert 2,Tiberian Sun,Rainbow Six III RavenShield,Nascar Racing 2003,
Nascar Racing 2002,NHL 2003,FIFA 2003,FIFA 2002,Shogun: Total War: Warlord Edition,
Need For Speed: Underground,Need For Speed Hot Pursuit 2,Medal of Honor: Allied Assault: Spearhead,
Medal of Honor: Allied Assault,James Bond 007: Nightfire,Global Operations,
Command and Conquer: Generals,Black and White,Battlefield Vietnam,IGI 2: Covert Strike
Battlefield 1942 (Secret Weapons of WWII),Battlefield 1942 (Road To Rome),Half-Life.........
遍历进程,查找并结束以下进程:regedit.exe,msconfig.exe,netstat.exe,msblast.exe,zapro.exe,
navw32.exe,navapw32.exe,zonealarm.exe,wincfg32.exe,taskmon.exe,PandaAVEngine.exe,
sysinfo.exe,mscvb32.exe,MSBLAST.exe,teekids.exe,Penis32.exe,bbeagle.exe,SysMonXP.exe,
winupd.exe,winsys.exe,ssate.exe。
这些进程中有些是Windows自带的诊断工具,有些是杀毒软件,也有像冲击波,恶鹰这样的病毒进程。
后门受到指挥后可以发动SYN攻击,造成指定机器拒绝服务。
瑞星16.36.20 可杀