基本介紹
- 外文名:Backdoor/LeakerBot.p
- 病毒長度:475,648 bytes
- 影響平台:Win2000/XP/NT
- 病毒類型:後門
基本信息,傳播過程,
基本信息
Backdoor/LeakerBot.p
病毒長度:475,648 bytes
病毒類型:後門
危害等級:*
影響平台:Win2000/XP/NT
利用的微軟漏洞包括:
MS03-026:DCOM RPC漏洞
MS03-007:WebDav漏洞
MS03-049:Workstation service緩衝區溢出漏洞
MS01-059:UPnP漏洞
MS02-061:Microsoft SQL Server 2000和MSDE 2000審計漏洞
MS04-011:LSASS漏洞
傳播過程
1.複製自身為:%System%\hkey.exe。
2.修改註冊表:
添加鍵值:"windows"="hkey.exe"到註冊表啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
3.修改%System%\drivers\etc\hosts檔案,添加127.0.0.1 www.mcafee.com類信息,導致用戶訪問一些網站失敗,一般都是反病毒類網站。
4.盜取Windows產品ID號和一些遊戲的CD keys
5.試圖終止下列進程:
irun4.exe
Ssate.exe
i11r54n4.exe
winsys.exe
ssgrate.exe
d3dupdate.exe
bbeagle.exe
6.傳送包含大量數據的HTTP POST信息到一些特定的host,每條POST信息250 KB左右。
www.ryan1918.net
www.ryan1918.org
www.ryan1918.comyahoo.co.jp
www.nifty.com
www.d1asia.com
www.st.lib.keio.ac.jp
www.lib.nthu.edu.t
wwww.above.net
www.level3.com
nitro.ucsc.edu
www.burst.net
www.cogentco.com
www.rit.edu
www.nocster.com
www.verio.com
www.stanford.edu
www.xo.netde.yahoo.com
www.belwue.de
www.switch.ch
www.1und1.de
verio.fr
www.utwente.nl
www.schlund.net
7.打開隨機選擇的TCP連線埠進行連線,並傳送病毒副本檔案到此連線埠。
8.連線遠程IRC伺服器,在此等待攻擊者發出的命令,並允許攻擊者在感染病毒的計算機上有下列操作:
執行命令
通過FTP和HTTP搜尋檔案
從註冊表中獲取數據
重啟計算機
列出進程表
結束進程
終止Windows服務
進行HTTP flood, ICMP flood, SYN flood,和UDP flood攻擊
從計算機上搜尋合法的郵件地址
通過HTTP獲取郵件地址表
盜取Windows產品ID號和一些遊戲的CD Keys
增加URLSniff HTTP, FTP, 和IRC流量
9.試圖利用內置的用戶名/密碼庫和用NetUserEnum()函式得到的用戶名獲取管理員許可權,並複製自身到下列共享進行傳播。
c$
d$
e$
print$
admin$
並遠程控制病毒執行的時間。
