Backdoor/Norbot.lp

病毒名称：Backdoor/Norbot.lp

病毒长度：变长

病毒类型：后门

危害等级：**

影响平台：Win2000/NT/XP

Backdoor/Norbot.lp是经UPX压缩，专利用IE漏洞进行传播的病毒。主要针对的IE漏洞有:LSASS漏洞(MS04-011),DCOM RPC漏洞(MS03-026),以及信使服务缓冲区溢出漏洞(MS03-043)等。

传播过程及特征：

1、使用具有欺骗性的文件名(通常伪装为合法的系统文件)，自我复制到系统目录下。

2、为了达到开机自启的目的，在注册表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下添加键值，使“<键项名>”=“<病毒文件名>”

为了达到自动运行的目的，在注册表里创建服务项

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices<所创建服务的名称>

3、连接IRC服务器，等待攻击指令。如：下载、运行文件，盗取系统信息，盗取游戏密码，感染IRC用户，执行DoS攻击等指令。

4、连接网络共享并推测网络中其他计算机的用户名及密码。

5、在其他被感染的计算机中自我复制，并通过远程控制使其运行。

6、终止防火墙及反病毒软件进程。并阻止电脑访问反病毒网站。