Backdoor/Phatbot.e
Backdoor/Phatbot.e通过RPC DCOM漏洞,RPC Locator和IRC聊天软件进行传播,并会启动大量线程,对远程服务器发动多种DoS攻击,耗尽CPU资源。还会尝试破解局域网内其他计算机的密码,一旦破解成功,就自动感染。同时,该病毒还搜集用户机器上的游戏CDKey、Email地址和注册表信息,通过IRC向外发送。
具体技术特征如下:
1.将自身复制到%SystemDir%
vchip4.exe,并在注册表启动项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunService中添加:
“nVidia Chip4”= “nvchip4.exe”
如果病毒发现自己不在%SystemDir%目录中,在运行后自动删除自己。
2.自动结束将近600种杀毒软件和调试工具的进程,基本包括了所有国外杀软和常用工具。
3.搜索本地局域网的机器,通过RPC DCOM漏洞(135号端口)和RPC Locator(445号端口)进行传播,有可能造成“RPC错误,1分钟倒计时重启”现象。
4.自带IRC机器人模块,可以自动登陆IRC聊天服务器,与其他Backdoor/Phatbot机器人通过IRC进行通信。并可以利用其内嵌的FTP模块进行自我升级和其他文件传输。
5.将本地磁盘C:, D:, E:设置为共享,并用自带的密码字典(约包含100种常用密码)对局域网内的其他计算机进行暴力破解,一旦成功则感染该计算机。
6.会根据IRC上的得到指令,开启大量监听和发包线程,向远程计算机发动SYN, UDP, ICMP, HTTP等多种DoS攻击,使CPU资源耗尽。
7.窃取数十种游戏的CDKey,并通过IRC发送出去。
8.收集用户机器上的email地址,并通过IRC发送出去。
9.可以根据后门指令收集用户的注册表信息,通过IRC发送出去。
