Backdoor/IRCBot.Cmst32.b
病毒长度:115,744 bytes
病毒类型:后门
影响平台:Win9X/2000/XP/NT/Me
Backdoor/IRCBot.Cmst32.b通过网络共享进行传播,利用弱密码和DCOM RPC漏洞在远程计算机上创建用户帐号。此外它作为后门连接一个IRC频道,允许黑客控制感染病毒的计算机。
传播过程及特征如下:
1.在系统目录下拷贝自身,文件名为:Spoolserv.exe ,Cmst32.exe ,Pctime32.bat,Runtime.bat,Smshost.exe,Svhost32.exe;此外还在Temp文件夹下拷贝自身为d.bat文件。
2.修改注册表:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加"Microsoft DirectX"="Spoolserv.exe"键值
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下添加"Microsoft DirectX"="Spoolserv.exe"键值
设置HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa下键值"restrictanonymous" = "1"
设置HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle下键值"EnableDCOM" = "N"
3.用Runtime.Bat和Pctime32.bat文件通过弱用户/密码和DCOM RPC漏洞,复制蠕虫为Cmst32.exe
4.发布一些共享和拒绝服务的命令,并试图删除navapsvc.exe和AUPDATE.EXE文件
5.加入一个IRC频道,等待黑客发出命令,如下:
搜索感染计算机的host信息
上传下载文件
执行文件
对其它计算机进行拒绝服务(DoS)攻击
