Backdoor/Norbot.ci
病毒长度:
病毒类型:网络蠕虫
危害等级:**
影响平台:Win9X/2000/XP/NT/Me/2003
Backdoor/Norbot.ci经PE Diminisher压缩,通过弱密码和微软漏洞进行传播,允许攻击者通过特定的IRC频道访问感染的计算机。
利用的微软漏洞包括:
MS03-026:DCOM RPC漏洞
MS03-007:WebDav漏洞
MS03-049:Workstation service缓冲区溢出漏洞
MS03-001:Locator service漏洞
传播过程及特征:
1.复制并执行自身:%System%
egsvc32.exe
2.修改注册表:
添加键值:"Generic Service Process"="regsvc32.exe"
到注册表启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
3.感染系统中运行的进程,成功感染后会隐藏%System%
egsvc32.exe在进程内,导致每一个新生成的进程在内存中被感染,用户无法发现蠕虫。
4.终止反病毒和防火墙软件进程以及下列进程。
taskmon.exe
bbeagle.exe
d3dupdate.exe
winsys.exe
ssate.exe
i11r54n4.exe
rate.exe
irun4.exe
Ssate.exe
5.修改 %System%driversetchosts文件,导致用户不能访问一些反病毒网站。
6.连接到一个IRC服务器,用自己的IRC客户端,做如下操作:
/摄取系统信息
/连接IRC服务器
/连接特定的IRC频道
/发送消息给IRC频道的所有用户
/通过IRC发送系统文件给特定的用户
/下载并执行文件
/盗取系统信息
/收集邮件地址
/盗取各种游戏的CD Key
/连接FTP服务器上传文件
/结束进程
/用SSH连接其它的系统
/作为SOCKS代理服务器进行连接
7.探测下列共享并试图取得共享权限,以达到复制自身到共享目录下进行传播:
c$
d$
e$
print$
admin$
取得共享权限使用的用户名一部分是通过NetUserEnum()函数得到的。
8.如果感染病毒的计算机用户访问了http:/ /www.paypal.com,则病毒会试图通过记录用户在PayPal(网上缴费)时的键击来盗取注册信息。此外它还能盗取AIM(美国在线的即时消息)和AOL(美国在线服务)的注册信息。
注:%Windir%为变量,一般为C:Windows 或 C:Winnt;
%Temp%为变量一般为:C:WindowsTEMP (Windows 95/98/Me),
or C:WINNTTemp (Windows NT/2000), or
C:Document and Settings<UserName>Local
SettingsTemp (Windows XP);
%System%为变量,一般为C:WindowsSystem (Windows 95/98/Me),
C:WinntSystem32 (Windows NT/2000), 或
C:WindowsSystem32 (Windows XP)。