Backdoor.Win32.IRCBot.aba分析报告
<P> 病毒名称: Backdoor.Win32.IRCBot.aba</P><P> 病毒类型: 后门类</P>
<P> 文件MD5: 8F6CB8D895E60387FE3E41377D0F0D3F</P>
<P> 文件长度: 270,848 字节</P>
<P> 感染系统: windows 98以上版本</P>
<P> 加壳类型: 未知壳</P>
<P> 病毒描述:</P>
<P> 该病毒为后门类,病毒运行后复制自身到系统目录,并重命名为mozila.exe,并删除自身。 修改注册表,添加启动项,以达到随机启动的目的。把自身副本文件添加到防火墙默认放行列表。连接到IRC服务器,等待受控。</P>
<P> 行为分析:</P>
<P> 1、病毒运行后衍生文件:</P>
<P> %System32%\mozila.exe</P>
<P> 2、修改注册表,添加启动项,以达到随机启动的目的:</P>
<P> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</P>
<P> 键值: 字串: "Mozila " = " C:\Windows\System32\mozila.exe "</P>
<P> 3、连接网络,下载相关病毒文件信息:</P>
<P> 协议:TCP</P>
<P> 地址:www.tgiweb.com</P>
<P> 端口: 80</P>
<P> 下载文件:radi.exe</P>
<P> 4、把自身副本文件添加到防火墙默认放行列表:</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\mozila.exe</P>
<P> 键值: 字符串: "C:\WINDOWS\system32\mozila.exe:*:Enabled:mozila"</P>
<P> 5、连接到IRC服务器,等待受控,命令说明如下:</P>
<P> IRC命令如:</P>
<P> /join <#闲聊室> [该闲聊室的密码]</P>
<P> /nick <新别名></P>
<P> /quit [退出连接的理由]</P>
<P> ……</P>
<P> 对目标主机的操作:</P>
<P> 下载文件</P>
<P> 发起拒绝服务(DDOS)攻击</P>
<P> 执行IRC命令</P>
<P> 执行系统扫描</P>
<P> 注释:</P>
<P> %Windir% WINDODWS所在目录</P>
<P> %DriveLetter% 逻辑驱动器根目录</P>
<P> %ProgramFiles% 系统程序默认安装目录</P>
<P> %HomeDrive% 当前启动系统所在分区</P>
<P> %Documents and Settings% 当前用户文档根目录</P>
<P> %Temp% 当前用户TEMP缓存变量;路径为:</P>
<P> %Documents and Settings%\当前用户\Local Settings\Temp</P>
<P> %System32% 是一个可变路径;</P>
<P> 病毒通过查询操作系统来决定当前System32文件夹的位置;</P>
<P> Windows2000/NT中默认的安装路径是 C:\Winnt\System32;</P>
<P> Windows95/98/Me中默认的安装路径是 C:\Windows\System;</P>
<P> WindowsXP中默认的安装路径是 C:\Windows\System32.</P>
<P> 清除方案:</P>
<P> 1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com .</P>
<P> 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm .</P>
<P> (1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程</P>
<P> (2) 强行删除病毒文件</P>
<P> %System32%\mozila.exe</P>
<P> (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项</P>
<P> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</P>
<P> 键值: 字串: "Mozila " = " C:\Windows\System32\mozila.exe "</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\mozila.exe</P>
<P> 键值: 字符串: "C:\WINDOWS\system32\mozila.exe:*:Enabled:mozila"</P> <
页:
[1]