Backdoor.Win32.VanBot.ax

病毒标签:    

病毒名称: Backdoor.Win32.VanBot.ax
中文名称: IRC后门
病毒类型: 后门类
文件 MD5: A1053B6AFA67509CFF9F5B9AD166F316
公开范围: 完全公开
危害等级: 高
文件长度: 56,440 字节
感染系统: WinNT4以上系统
开发工具: Microsoft Visual C++ 6.0
加壳工具: 未知壳
病毒描述:

    

  该病毒运行后,衍生病毒文件到系统目录下,添加注册表自动运行项以随机引导病毒体。创建大量线程用于扫描用户所在网络,若发现存默认共享或弱口令则传播自身。此病毒为一个利用Windows平台下IRC协议的网络蠕虫,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp等恶意行为。
行为分析:

    1 、衍生下列副本与文件:
    %System32%\iexplorer.exe
    %System32%\jhxn.exe
        
2 、新建注册表键值:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced
    DHTML Enable
    Value: String: "%WinDir%\System32\ jhxn.exe "//此处文件名为随机生成
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft
    Internet Explorer
    Value: String: "%WinDir%\System32\ iexplore.exe"//此处文件名可能为
    Firewall.exe
    
3 、创建大量扫描线程用以扫描存在漏洞的本地网络。   
4 、自动连接的IRC服务器:
    220.198.59.***:9928
    220.196.59.***:3938
    67.43.236.**:2938
        
5 、连接IRC服务器信息如下:
    USER oursxb oursxb oursxb :qdvwwaiuhmiyjygl
    NICK eIBnErNT
    PING :66609D09
    PONG :66609D09
    :@_@ 001 eIBnErNT:
    MODE eIBnErNT +xi
    JOIN #siwa
    USERHOST eIBnErNT
    :x.hub.x 332 eIBnErNT
    #siwa :=xAgVMf81RvN+xBBhG+xXwttpTsaSBfWeekvMkmkVNcbo20jZvmkCo7CUU
    bRsdRPzz6wiS1OY8pcXg3d9ucVufq2bgQ1mvh+9OBJDwIuw1kOamPaw+2jw/CTaWV
    QRjrX8Xl2Iph

6 、病毒体下载的地址:

    Host: 220.196.59.***/packed_7711.exe
7 、创建自删除批处理文件删除自身。
       
8 、病毒可利用以下漏洞传播自身:     
        LSASS (MS04-011),
    SRVSVC (MS06-040),
    RPC-DCOM (MS04-012),
    PNP (MS05-039),
    网络共享及弱口令 注:%System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的
安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。


清除方案:

    

          手工清除请按照行为分析删除对应文件,恢复相关系统设置。
        (1)结束病毒进程, 病毒常生产的进程名为下列两个:
          iexplorer.exe
          Firewall.exe
        (2)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
          CurrentVersion\Run\Advanced DHTML Enable
          Value: String: "%WinDir%\System32\ jhxn.exe "
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
          CurrentVersion\Run\Microsoft Internet Explorer
          Value: String: "%WinDir%\System32\ iexplore.exe "
        (3) 删除病毒释放文件:
          %System32%\iexplorer.exe
          %System32%\ jhxn.exe

你可能感兴趣的:(职场,病毒,休闲)