Backdoor/LeakerBot.o
病毒长度:138,752 bytes ,变长
病毒类型:后门
危害等级:**
影响平台:Win2000/XP/NT
Backdoor/LeakerBot.o通过网络共享和微软漏洞进行传播,此外还利用Beagle和Mydoom蠕虫打开的后门进行传播。此病毒作为一个后门服务程序对系统发动攻击,并终止一些反病毒和安全软件相关的进程。
利用的微软漏洞包括:
MS03-026:DCOM RPC漏洞
MS03-049:Workstation service缓冲区溢出漏洞
MS04-011:LSASS漏洞
传播过程及特征:
1.复制自身为:
%System%msiwin84.exe
%System%Microsoft.exe
%System%WinMsrv32.exe
%System%soundcontrl.exe
%System%msawindows.exe
2.修改注册表:
添加下列键值:
"Microsoft Update"="msiwin84.exe"
"Microsoft Update"="Microsoft.exe"
"WinMsrv32"="WinMsrv32.exe"
"soundcontrl"="soundcontrl.exe"
"Microsoft Update"="msawindows.exe"
到注册表启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
3.修改%System%driversetchosts文件,添加127.0.0.1 www.mcafee.com类信息,导致用户访问一些网站失败,一般都是反病毒类网站。
4.试图终止下列进程:
irun4.exe
Ssate.exe
i11r54n4.exe
winsys.exessgrate.exe
d3dupdate.exe
bbeagle.exerate.exe
5.发送包含大量数据的HTTP POST信息到一些特定的host,每条POST信息250 KB左右。
6.打开随机选择的TCP端口进行连接,并发送病毒副本文件到此端口。
7.连接远程IRC服务器,在此等待攻击者发出的命令,并允许攻击者在感染病毒的计算机上有下列操作:
执行命令
通过FTP和HTTP搜索文件
从注册表中获取数据
重启计算机
列出进程表
结束进程
终止Windows服务
进行HTTP flood, ICMP flood, SYN flood,和UDP flood攻击
从计算机上搜索合法的邮件地址
通过HTTP获取邮件地址表
盗取Windows产品ID号和一些游戏的CD Keys
增加URLSniff HTTP, FTP, 和IRC流量
9.试图利用内置的用户名/密码库和用NetUserEnum()函数得到的用户名获取管理员权限,并复制自身到下列共享进行传播。
c$
d$
e$
print$
admin$
ipc$
并远程控制病毒执行的时间。
注:%Windir%为变量,一般为C:Windows 或 C:Winnt;
%System%为变量,一般为C:WindowsSystem (Windows 95/98/Me),
C:WinntSystem32 (Windows NT/2000), 或
C:WindowsSystem32 (Windows XP)。