Backdoor.Win32.VanBot.ax

病毒标签：    

病毒名称： Backdoor.Win32.VanBot.ax
中文名称： IRC后门
病毒类型： 后门类
文件 MD5： A1053B6AFA67509CFF9F5B9AD166F316
公开范围： 完全公开
危害等级： 高
文件长度： 56,440 字节
感染系统： WinNT4以上系统
开发工具： Microsoft Visual C++ 6.0
加壳工具： 未知壳
病毒描述：

    

　　该病毒运行后，衍生病毒文件到系统目录下，添加注册表自动运行项以随机引导病毒体。创建大量线程用于扫描用户所在网络，若发现存默认共享或弱口令则传播自身。此病毒为一个利用Windows平台下IRC协议的网络蠕虫，受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp等恶意行为。
行为分析：

    1 、衍生下列副本与文件：
　　　　%System32%\iexplorer.exe
　　　　%System32%\jhxn.exe
　　　　　　　　
2 、新建注册表键值：
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced
　　　　DHTML Enable
　　　　Value: String: "%WinDir%\System32\ jhxn.exe "//此处文件名为随机生成
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft
　　　　Internet Explorer
　　　　Value: String: "%WinDir%\System32\ iexplore.exe"//此处文件名可能为
　　　　Firewall.exe
　　　　
3 、创建大量扫描线程用以扫描存在漏洞的本地网络。 　　
4 、自动连接的IRC服务器：
　　　　220.198.59.***:9928
　　　　220.196.59.***:3938
　　　　67.43.236.**:2938
　　　　　　　　
5 、连接IRC服务器信息如下：
　　　　USER oursxb oursxb oursxb :qdvwwaiuhmiyjygl
　　　　NICK eIBnErNT
　　　　PING :66609D09
　　　　PONG :66609D09
　　　　:@_@ 001 eIBnErNT:
　　　　MODE eIBnErNT +xi
　　　　JOIN #siwa
　　　　USERHOST eIBnErNT
　　　　:x.hub.x 332 eIBnErNT
　　　　#siwa :=xAgVMf81RvN+xBBhG+xXwttpTsaSBfWeekvMkmkVNcbo20jZvmkCo7CUU
　　　　bRsdRPzz6wiS1OY8pcXg3d9ucVufq2bgQ1mvh+9OBJDwIuw1kOamPaw+2jw/CTaWV
　　　　QRjrX8Xl2Iph

6 、病毒体下载的地址：

　　　　Host: 220.196.59.***/packed_7711.exe
7 、创建自删除批处理文件删除自身。
       
8 、病毒可利用以下漏洞传播自身： 　　　　
        LSASS (MS04-011)，
　　　　SRVSVC (MS06-040)，
　　　　RPC-DCOM (MS04-012)，
　　　　PNP (MS05-039)，
　　　　网络共享及弱口令 注：%System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的
安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。


清除方案：

    

          手工清除请按照行为分析删除对应文件，恢复相关系统设置。
    　 　 (1)结束病毒进程， 病毒常生产的进程名为下列两个：
    　　　　　　iexplorer.exe
    　　　　　　Firewall.exe
    　 　 (2)恢复病毒修改的注册表项目，删除病毒添加的注册表项：
    　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    　　　　　　CurrentVersion\Run\Advanced DHTML Enable
    　　　　　　Value: String: "%WinDir%\System32\ jhxn.exe "
    　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    　　　　　　CurrentVersion\Run\Microsoft Internet Explorer
    　　　　　　Value: String: "%WinDir%\System32\ iexplore.exe "
    　 　 (3) 删除病毒释放文件：
    　　　　　　%System32%\iexplorer.exe
    　　　　　　%System32%\ jhxn.exe