Backdoor.Win32.Rbot.dvd 病毒分析
| 病毒标签: | |
|
病毒名称: Backdoor.Win32.Rbot.dvd
中文名称: VNC爬梯 病毒类型: 后门类 文件 MD5: 264255319E1368F851D161C50D227212 公开范围: 完全公开 危害等级: 5 文件长度: 脱壳前1,073,007 字节,脱壳后2,007,040 字节 感染系统: Win98以上版本 开发工具: Microsoft Visual C++ 6.0 加壳类型: Thinstall 2.4x - 2.5x -> Jitit Software [Overlay] PEncrypt 3.1 Final -> junkcode 命名对照: HBEDV [Worm / IrcBot.uxm] |
|
| 病毒描述: | |
|
该病毒运行后,衍生病毒副本到系统目录下,添加注册表自动运行项以跟随系统引导病毒
体。病毒自动连接IRC服务器,接收指令扫描本地网络VNC开放的5900端口,如有则试图获取密 码。受感染主机可被完全控制、创建FTP、Tftp、对目标主机进行拒绝服务攻击、接受指令下载 任意文件到本机运行等恶意行为。 |
|
| 行为分析: | |
|
本地行为:
1、文件运行后会衍生副本:
%System32%\ mswinsvcr.exe 1,643,940 字节
2、新增注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run\ 键值:Microsoft 字符串: "mswinsvcr.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\RunServices\键值:Microsoft 字符串: ""mswinsvcr.exe" 网络行为: 协议:IRC 目的端口:6667
域名或IP地址:apx.e***.es(212.241.210.***(英国))
Bot启动后与服务器的交互信息: NICK [00|CHN|XP|SP1]-7348 /*昵称由感染机信息加随机数字组成*/ USER hwpyae 0 0 :[00|CHN|XP|SP1]-7348 /*用户名由随机字母序列加昵称名*/ :irc.my.sql 001 [00|CHN|XP|SP1]-7348 :Welcome to the oc256 IRC Network [00|CHN|XP|SP1][email protected] :irc.my.sql 002 [00|CHN|XP|SP1]-7348 :Your host is irc.my.sql, running version Unreal3.2-beta19 :irc.my.sql 003 [00|CHN|XP|SP1]-7348 :This server was created Sun Feb 8 18:58:31 2004 :irc.my.sql 004 [00|CHN|XP|SP1]-7348 irc.my.sql Unreal3.2-beta19 加入频道:#X 频道密码:d 加入频道后接收的指令: PRIVMSG #x :Scanner - Random Method started at 10.x.x.x :vnc-5900 for 0 minutes 5 delay 200 threads /*构造本地网络地址,创建200个线程扫描5900端口,判断是否有VNC软件*/ 本Bot支持的指令集如下: ping pong join %s %s\n\n nick %s\n\n kick part quit notice privmsg chart login [trying: %s (%s)] [psniff] [key log] [tcp]: %s %s flooding: (%s:%s) for %s seconds. [ping]: sending %d pings to %s. packet size: %d, timeout: %d(ms). [udp]: sending %d packets to: %s. packet size: %d, delay: %d(ms). [icmp]: flooding: (%s) for %s seconds. [syn]: flooding: (%s:%s) for %s seconds. [ddos]: flooding: (%s:%s) for %s seconds. [ftp]: server started on port: %d, file: %s, request: %s. [download]: downloading url: %s to: %s. [update]: downloading update from: %s. …… 病毒可通过下列字符列表猜解网络用户账号,以取得高级权限 用户名表: sa、root、admin、internet、administrator、administrador、 administrateur、administrat、admins、adm 密码列表: password1、password、passwd、pass1234、pass、pwd、007、1、 12、123、1234、12345、123456、1234567、12345678、123456789、 1234567890、2000、2001、2002、2003、2004、test、guest、none、 demo、unix、linux、changeme、default、system、server、null qwerty、 mail、outlook、web、www、accounts、accounting、home、homeuser、 user、oem、oemuser、oeminstall、windows、win98、win2k、winxp、 winnt、win2000、qaz、asd、bob、peter、zxc、qwe、jen、joe、fred、 bill、mike、john、luke、sam、sue、susan、brian、lee、neil、an、 chris、eric、george、kate、katie、mary、login、loginpass、 technical、backup、exchange、fuck、bitch、slut、sex、god、hell、 hello、domain、domainpass、domainpassword、database、access、 dbpass、dbpassword、databasepass、data、databasepassword、db1、 db2、db1234、sql、sqlpassoainstall、orainstall、oracle、ibm、 cisco、dell、compaq、siemens、hp、nokia、xp、control、office、 blank、winpass、main、lan、intranet、student、teacher、staff 注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的 位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \Documents and Settings \当前用户\Local Settings\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\Winnt\System32 windows95/98/me中默认的安装路径是C:\Windows\System windowsXP中默认的安装路径是C:\Windows\System32 |
|
| 清除方案: | |
|
|