其它名稱:W32/Backdoor.VZB (F-Secure), (Kaspersky), Troj/IRCBot-TC (Sophos), Win32/Nirbot.A!Worm, W32.Spybot.Worm (Symantec)
流行程度:中
病毒特性:
Win32/Nirbot.A是一種IRC控制的後門,能夠未經授權的訪問被感染機器,它還會顯示類似蠕蟲的功能。
基本介紹
- 中文名:蠕蟲病毒Win32.Nirbot.A
- 外文名:Backdoor.Win32.IRCBot.yc
- 病毒屬性:蠕蟲病毒
- 危害性:中等危害
具體感染與傳播方式,危害,
具體感染與傳播方式
感染方式:
第一次運行時,Nirbot.A複製到以下位置:
%System%\lemsrv.exe
並設定以下註冊表鍵值,以確保在每次系統啟動時運行病毒:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\LEMSRV = "%System%\lemsrv.exe"
Nirbot.A不斷的查找並設定以上註冊表鍵值。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
傳播方式:
通過後門控制手工啟動傳播。
Nirbot.A以掃描易受攻擊的目標機器開始傳播程式。蠕蟲為目標IP位址生成任意值。
Nirbot.A通過攻擊Microsoft Windows Server Service (MS06-040)漏洞進行傳播。如果攻擊成功,它會在目標機器上運行一個很小的代碼,用來連線後面的源,從而獲取蠕蟲的可運行程式。為了能夠給目標提供蠕蟲副本,蠕蟲在源機器上運行一個HTTP伺服器。如果在網路上攻擊機器,並不能通過新的攻擊主機到達,它就會從66.29.116.82 IP位址獲取蠕蟲副本。
危害
後門功能
Nirbot.A是一種IRC控制的後門,為了能夠控制被感染的機器,它嘗試連線到一個預先確定的IRC伺服器所在的域,並加入特定的信道。一旦被感染機器被控制住,黑客就可能指示Nirbot.A執行以下惡意操作:
獲取系統信息,例如作業系統的詳細信息;
從Internet下載並運行檔案;
在被感染機器上運行一個 SOCKS 代理;
執行拒絕服務攻擊;
在被感染機器上運行命令;
更新病毒;
刪除病毒;
清除用戶檔案;
KILL安全胄甲InoculateIT 23.73.84,Ver 30.3.3246版本可檢測/清除此病毒。
