TrojanProxy.Bobax.c
病毒长度:22,528 字节
病毒类型:代理木马
危害等级:**
影响平台:Win2000/XP
TrojanProxy.Bobax.c在端口445和135利用LSASS漏洞和DCOM RPC漏洞进行传播,感染的计算机转发邮件传播,并允许攻击者未经授权随意访问,可能会导致机器重启。
传播过程及特征:
1.复制自身为:
%System%<任意字符>.exe
2.修改注册表:
添加键值:"<任意字符>" = "%System%<任意字符>.exe"
到注册表:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
3.试图删除临时文件夹%temp%下文件名以“ ~ ”开头的所有文件。
在临时文件夹%temp%下生成.tmp文件,此文件实质上是包含木马的.dll文件。
4.将.dll文件嵌入Explorer.exe并结束<任意字符>.exe
5.从不同的站点下载文件用来测试网络连接速度,此外它会选择有唯一ID的远程web服务器进行连接感染,成功后发送系统信息进行通告,然后病毒会发出激活指令响应,导致有如下操作:
发送垃圾邮件
发送系统信息给作者
停止/重启扫描程序
下载/运行特定可执行程序
进行自我更新
6.对随机产生的IP地址进行扫描,试图连接TCP端口5000。并测定目标系统是否存在LSASS漏洞和DCOM RPC漏洞:
/Windows XP:
a.在TCP端口445发送shell命令,试图发现LSASS漏洞,如果没有则在TCP端口135测定是否有DCOM RPC漏洞。
b.一旦发现可利用的漏洞,便强制性的通过HTTP在任意端口与远程计算机取得连接并下载病毒程序,同时保存为Svc.exe或具有.gif扩展名的可执行文件。
c.最终在远程计算机上运行病毒程序。
/Windows 2000:
首先测定是否存在DCOM RPC漏洞,如果成功发现则进行感染并运行病毒。
7.lsass.exe进程在被攻击过程中可能会被破坏,可能会导致系统重启,并出现一个标题为LSA Shell(Export Version)的是否发送错误报告的选择对话框。
8.打开任意选定的端口,在此等待引入的连接,并运行自带的SMTP服务器,在感染的计算机上进行垃圾邮件的转发操作。
注:%Windir%为变量,一般为C:Windows 或 C:Winnt;
%program files%一般为C:program files;
%Temp%一般为C:WindowsTemp 或 C:Documents and
Settings<当前用户>Local SettingsTemp;
%System%为变量,一般为C:WindowsSystem (Windows 95/98/Me),
C:WinntSystem32 (Windows NT/2000),
或 C:WindowsSystem32 (Windows XP)。
