Backdoor.Wn32.PoeBot.c

病毒名称：Backdoor.Wn32.PoeBot.c

中文名称：Poe机器人变种

病毒类型：后门类

文件 MD5：DFC1C63A5DE1FB54A95768774DEB4809

公开范围：完全公开

危害等级：高

文件长度：46,592 字节

感染系统：Wn98以上系统

开发工具：Mcrosoft Vsual C++6.0

加壳工具：UPolyX v0.5 *

UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

命名对照： 驱逐舰[Wn32.HLLW.Shepher]

瑞星[Bacdoor.PoeBot.cb]

病毒描述：

该病毒运行后，病毒衍生文件到系统目录下，添加注册表自动运行项以随机引导病毒体。该病毒利用MS04-011漏洞，通过IRC频道生成后门程序。受感染用户可能被受控进行端口扫描，ddos攻击等行为。用户系统文件完全暴露。

行为分析：

1、衍生下列副本与文件

%System32%iexplore.exe

2、新建注册表键值

HKEY_LOCAL_MACHNESOFTWAREMicrosoftWndowsCurrentVerson

RunMcrosoft nternet Explorer

键值: 字符串: "%WNDr%system32explore.exe"

3、开放下列端口连接指定服务器等待受控：

TCP8998ServerP:208.53.131.46

TCP 9889ServerP: 208.53.131.46

4、试图从某服务器下载病毒体：

TPC->HTTP 80ServerP: 209.162.178.14

5、生成[随机名].bat删除初始病毒文件及自身：

@echo off

:deleteagan

del /A:H /F 1111.exe

del /F 1111.exe

f exst 1111.exe goto deleteagan

del ryjgoel.bat

6、病毒试图利用自身带的用户名和密码表，利用网络进行传播：

用户名表：

"admnstrator""admnstrador""admnstrateur""admnstrat"

"admns""admn""adm""computer""unx""lnux""system"

"server""root""web""www""nternet""home""homeuser"

"user""oemuser""wwwadmn""bob""jen""joe""fred""bll"

"mke""john""peter""luke""sam""sue""susan""peter"

"bran""lee""nel""an""chrs""guest""none""erc"

"george""kate""bob""kate""mary""techncal""backup"

"god""doman""database""access""data""sa""sql""oracle"

"bm""csco""dell""compaq""semens""control"offce""man"

"lan""nternet""ntranet""student""owner""teacher""staff"

共享列表：

"$""d$""e$""$shared""d$shared""e$shared""c$wnnt""c$wndows"

"c$wnntsystem32""c$wndowssystem32""Admn$system32""admn$""C$

Documents and "prnt$""PC$"

密码列表：

"admnstrator""admnstrador""admnstrateur""admnstrat"

"admns""admn""adm""ab""abc""password1""password"

"passwd""dba""pass1234""pass""pwd""007""12""123"

"1234""12345""123456""1234567""12345678""123456789"

"1234567890""work""deadlne""payday""secret""2000"

"2001""2002""2003""2004""2005""test""guest""none"

"demo""computer""unx""lnux""changeme""default"

"system""server""root""null""temp""temp123"

"qwerty""mal""outlook""web""www""nternet""sex"

"letmen""accounts""accountng""home""homeuser"

"user""oem""oemuser""oemnstall""wwwadmn""wndows"

"wn98""wn2k""wnxp""wnnt""wn2000""qaz""asd""zxc"

"qwe""bob""jen""joe""fred""bll""mke""db2""db1234"

"sa""sql""sqlpassoanstall""oranstall""oracle""bm"

"csco""dell""compaq""semens""hp""noka""xp""control"

"offce""blank""wnpass""man""lan""nternet""ntranet"

"student""owner""teacher""staff""john""peter""luke"

"sam""sue""susan""peter""bran""lee""nel""an""chrs"

"erc""george""kate""bob""kate""mary""logn""lognpass"

"techncal""backup""exchange""fuck""btch""slut""sex"

"god""money""love""hell""hello""doman""domanpass"

"domanpassword""database""access""dbpass""dbpassword"

"databasepass""data""databasepassword""db1"

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Wndows2000/NT中默认的安装路径是C:WnntSystem32，wndows95/98/me中默认的安装路径是C:WndowsSystem，wndowsXP中默认的安装路径是C:WndowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

iexplore.exe

(2) 删除病毒释放文件

%System32%iexplore.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHNESOFTWAREMicrosoftWndowsCurrentVersonRun

Mcrosoft nternet Explorer

键值: 字符串: "%WNDr%system32explore.exe"