王朝百科
分享
 
 
 

蠕虫病毒Win32.Petribot.AMJ

王朝百科·作者佚名  2010-02-16  
宽屏版  字体: |||超大  

病毒名称:蠕虫病毒Win32.Petribot.AMJ

其它名称:W32/SDBot.WFF (F-Secure), WORM_SDBOT.WIE (Trend), W32/Sdbot-DFJ (Sophos) , Backdoor.Win32.SdBot.bhk (Kaspersky), Trojan:Win32/Ircbrute!162A (MS OneCare)

病毒属性:蠕虫病毒 危害性:中等危害 流行程度:中

具体介绍:

病毒特性

Win32/Petribot.AMJ是一种IRC控制后门的蠕虫,能够未经授权的访问被感染机器。它会通过很多不同的软件漏洞并利用弱口令进入默认共享进行传播。它是大小为515,584字节的 Win32 可运行程序。

感染方式

运行时,Win32/Petribot.AMJ 复制"regent.exe"到%Windows% 目录,并作为一个服务安装,为了在每次系统启动时自动运行病毒。服务有以下特征:

Service name: Register Manager

Display name: Register Manager

Path to executable: %Windows%

egent.exe

Startup type: Automatic

HKLMSOFTWAREMicrosoftWindowsCurrentVersionShell Extensions = "%Windows%

egent.exe"

注:'%Windows %'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:Winnt; 95,98 和 ME 的是C:Windows; XP 的是C:Windows。

这个变体还会生成以下注册表,为了储存它自己使用的数据:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionShell Extensions12

HKLMSOFTWAREMicrosoftWindowsCurrentVersionShell Extensions13

HKLMSOFTWAREMicrosoftWindowsCurrentVersionShell Extensions14 = ""

传播方式

通过漏洞传播

Win32/Petribot.AMJ通过攻击以下系统漏洞和第三方软件漏洞进行传播:

Microsoft Windows LSASS buffer overflow vulnerability (TCP 445端口)

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP 135, 445端口)

http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx

Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank 'sa' password vulnerability (TCP 1433端口)

http://support.microsoft.com/default.aspx?scid=kb;en-us;Q321081

FTPD buffer overflow vulnerabilities

http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?ID=1833

通过网络共享传播

Win32/Petribot.AMJ 通过Windows 文件共享感染远程机器。它通过探测TCP 139 和 445端口扫描目标机器。如果它能够连接这两个端口的任意一个,它就会连接Windows 共享:

\ipc$

这里的是病毒尝试感染的机器名。

如果连接成功,它就会尝试获取目标机器的用户名列表,随后使用这些用户名访问系统。如果它不能获取用户名列表,它就会尝试使用以下用户名:

administrator

administrador

administrateur

administrat

admins

admin

staff

root

computer

owner

student

teacher

wwwadmin

guest

default

database

dba

oracle

db2

蠕虫尝试复制到以下位置:

Admin$

Admin$system32

c$winntsystem32

c$windowssystem32

d$winntsystem32

d$windowssystem32c$

d$

e$

f$

g$

h$

IPC$

如果成功连接,蠕虫就会复制到目标机器,并安排一个远程任务,在目标机器上运行蠕虫的副本。

危害

后门功能(端口:可变的)

Win32/Petribot.AMJ包含后门功能,允许未经授权的访问,并控制被感染机器。它通过IRC控制,连接到不同的服务器、端口和信道。利用后门,Petribot.AMJ的控制者可能执行以下操作:

列出并停止线程;

获取mIRC 信息,并控制mIRC;

添加/删除/读取注册表键值;

从注册表获取HTTP Mail 和 POP3 mail 的帐户名;

获取系统信息(例如:驱动器,内存,IP地址,用户名等);

添加/删除/运行文件;

浏览驱动器/目录;

通过FTP下载/上传文件;

执行DNS 查询;

在其它的IRC host/channel 上启动slave bots;

列出/终止进程;

获取 bot 版本/状况;

改变端口;

在任意端口启动一个SOCKS proxy ;

在TCP或UDP端口探测信息包来监控机器的网络流量;

退出bot ;

将IRC 信息加密;

扫描IP地址段的机器漏洞进行攻击;

启动DoS 攻击(Denial of Service),例如UDP flood, ICMP flood 和 ACK flood。

其它信息

蠕虫访问http://www.google.com来确定是否能够访问Internet。

蠕虫使用以下站点来确定本地机器的外部IP:

http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/prxjdg.cgi

http://www.kinchan.net/cgi-bin/proxy.cgi

http://www.pistarnow.is.net.pl/azenv.php

http://cgi.break.power.ne.jp/check/prxjdg.cgi

http://www.proxy4free.info/cgi-bin/prxjdg.cgi

http://69.59.137.236/cgi/prxjdg.cgi

http://tutanchamon.ovh.org/azenv.php

http://www.proxy.us.pl/azenv.php

http://test.anonproxies.com/azenv.php

http://www.nassc.com/pr.php

http://www.littleworld.pe.kr/azenv.php

http://www.anonymitytest.com/cgi-bin/azenv.pl

http://tn0828-web.hp.infoseek.co.jp/cgi-bin/proxyjudge.cgi

清除:

KILL安全胄甲Vet 30.7.3717版本可检测/清除此病毒。

 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
如何用java替换看不见的字符比如零宽空格​十六进制U+200B
 干货   2023-09-10
网页字号不能单数吗,网页字体大小为什么一般都是偶数
 干货   2023-09-06
java.lang.ArrayIndexOutOfBoundsException: 4096
 干货   2023-09-06
Noto Sans CJK SC字体下载地址
 干货   2023-08-30
window.navigator和navigator的区别是什么?
 干货   2023-08-23
js获取referer、useragent、浏览器语言
 干货   2023-08-23
oscache遇到404时会不会缓存?
 干货   2023-08-23
linux下用rm -rf *删除大量文件太慢怎么解决?
 干货   2023-08-08
刀郎新歌破世界纪录!
 娱乐   2023-08-01
js实现放大缩小页面
 干货   2023-07-31
生成式人工智能服务管理暂行办法
 百态   2023-07-31
英语学习:过去完成时The Past Perfect Tense举例说明
 干货   2023-07-31
Mysql常用sql命令语句整理
 干货   2023-07-30
科学家复活了46000年前的虫子
 探索   2023-07-29
英语学习:过去进行时The Past Continuous Tense举例说明
 干货   2023-07-28
meta name="applicable-device"告知页面适合哪种终端设备:PC端、移动端还是自适应
 干货   2023-07-28
只用css如何实现打字机特效?
 百态   2023-07-15
css怎么实现上下滚动
 干货   2023-06-28
canvas怎么画一个三角形?
 干货   2023-06-28
canvas怎么画一个椭圆形?
 干货   2023-06-28
canvas怎么画一个圆形?
 干货   2023-06-28
canvas怎么画一个正方形?
 干货   2023-06-28
中国河南省郑州市金水区蜘蛛爬虫ip大全
 干货   2023-06-22
javascript简易动态时间代码
 干货   2023-06-20
感谢员工的付出和激励的话怎么说?
 干货   2023-06-18
 
>>返回首页<<
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
© 2005- 王朝网络 版权所有