Backdoor.Win32.IRCBot.et
病毒名称: Backdoor.Win32.IRCBot.et
病毒类型: 后门
文件 MD5: FB7B3CF4C4023FBEB7A4E4CCF5FE2D0B
公开范围: 完全公开
危害等级: 中
文件长度: 51,326 字节
感染系统: windows 2000 及以上版本
开发工具: Microsoft Visual C++
加壳类型: yoda's Protector
命名对照: Symentec[无]
Mcafee[无]
病毒描述:
该病毒属后门类,病毒主要通过微软漏洞ms05-039进行传播。病毒运行后在系统文件夹下新建%usrnt%windrg32.exe,而后修改注册表文件,病毒会尝试连接三个网站,等待并接受恶意者的控制,病毒内置一个字典,尝试破解用户的口令。该病毒还具有后门功能,病毒运行后会开启IRC信道,监听本地6667端口,病毒还会删除%Program Files%下的一些流氓软件,遍历当前进程并尝试结束一些进程。病毒利用ms05-039扫描网络,并开启本地ftp,提供被溢出的主机下载病毒副本,达到传播的目的。该病毒对用户有一定危害。
行为分析:
1、复制自身到%windir%usrntwindrg32.exe
2、修改注册表文件:
新建如下键值:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
键值:字串:"WinDrg32" = %SYSTEM%USRNT
WINDRG32.EXE
尝试删除注册表中以下位置的键值:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRunServices
列表如下:
WeatherOnTray
EbatesMoeMoneyMaker
AutoUpdater
eZmmod
Trickler
CMESys
QuickTime Task
saie
180ax
TkBellExe
ViewMgr
TBPS
WinTools
tov
sais
msbb
lgbibsn
tov
3、病毒内置一个字典,尝试破解用户的口令,字典如:
abc123
54321
654321
88888888
12345678
123456
12345
qsdfgh
asdfgh
azerty
azert
qwertz
qwertyui
qwerty
qwert
passe
passwort
password
owner
administrator
admi
4、遍历当前进程,尝试终止某些进程,如:
qttask.exe
realsched.exe
ViewMgr.exe
NHUpdater.exe
CxtPls.exe
CMESys.exe
5、病毒运行后会尝试连接以下网站,开启本地6667端口,并在感染主机上开启irc信道:
spook*****t.afraid.org
spook*****et.udp-flood.com
spook*****et.m00p.org
6、扫描网络,尝试溢出没有安装相关补丁的系统,并提供ftp下载病毒副本。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程:
windrg32.exe
(2) 删除病毒文件:
% usrnt %windrg32.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
键值:字串:"WinDrg32" = %SYSTEM%USRNTWINDRG32.EXE