Backdoor.win32.ircbot.com分析
[b]病毒标签:[/b]病毒名称: Backdoor.win32.ircbot.com
病毒类型: 后门
文件 MD5: FC07D2714CED675C461506A6F16F0F50
公开范围: 完全公开
危害等级: 5
文件长度: 199,680 字节
感染系统: windows98以上版本
加壳类型: 未知壳
命名对照: 毒霸 [win32..Hack.IRCbot.com.199680]
[b]病毒描述:[/b]
该病毒属后门类,病毒运行后复制自身到%system32%\dllcache\下,并删除自身,修改注册表,创建服务,以达到随机启动的目的,关掉系统自动更新程序,使用用户不能自动更新系统补丁,连接网络,更新tcpip.sys文件,使用户配置与系统版本不附。该病毒利用IRC通信信道远程控制用户,尝试弱口令。
[b]行为分析:[/b]
1、病毒运行后复制自身到%system32%\dllcache\下,并删除自身:
%system32%\dllcache\msiupdate32.exe
2、修改注册表,创建服务,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
新建键值: 字串: "EnableDCOM "="N"
原键值: 字串: "EnableDCOM "="Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft update Service\
键值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
键值: 字串:"C:\WINDOWS\system32\dllcache\msiupdate32.exe " ="C:\WINDOWS
\system32\dllcache\msiupdate32.exe:*:Enabled:Microsoft update Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft update Service\
键值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\
键值: 字串:"C:\WINDOWS\system32\dllcache\msiupdate32.exe "="C:\WINDOWS\system32
\dllcache\msiupdate32.exe:*:Enabled:Microsoft update Service"
3、关掉系统自动更新程序,使用用户不能自动更新系统补丁
4、连接网络,更新tcpip.sys文件,使用户配置与系统版本不附。
IP:206.83.210.218
5、该病毒利用IRC通信信道远程控制用户:
6、尝试弱口令:
注: % System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\ Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
================================================================
[b] 手工清除方案: [/b]
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用“进程管理”关闭病毒进程
(2) 删除病毒文件
%system32%\dllcache\msiupdate32.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
新建键值: 字串: "EnableDCOM "="N"
原键值:: 字串: "EnableDCOM "="Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft update Service\
键值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache
\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\Authorized
Applications\List\
键值: 字串:"C:\WINDOWS\system32\dllcache\msiupdate32.exe"
="C:\WINDOWS\system32\dllcache\msiupdate32.exe:*:Enabled:Microsoft update Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft update Service\
键值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache
\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\Authorized
Applications\List\
键值: 字串:"C:\WINDOWS\system32\dllcache\msiupdate32.exe
"="C:\WINDOWS\system32\dllcache\msiupdate32.exe:*:
Enabled:Microsoft update Service"
[b]分析小组:[/b]安全咨询中心([url]http://bbs.kingzoo.com)[/url]
页:
[1]