病毒名称:蠕虫病毒Win32.Petribot.AMJ
其它名称:W32/SDBot.WFF (F-Secure), WORM_SDBOT.WIE (Trend), W32/Sdbot-DFJ (Sophos) , Backdoor.Win32.SdBot.bhk (Kaspersky), Trojan:Win32/Ircbrute!162A (MS OneCare)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:中
具体介绍:
病毒特性
Win32/Petribot.AMJ是一种IRC控制后门的蠕虫,能够未经授权的访问被感染机器。它会通过很多不同的软件漏洞并利用弱口令进入默认共享进行传播。它是大小为515,584字节的 Win32 可运行程序。
感染方式
运行时,Win32/Petribot.AMJ 复制"regent.exe"到%Windows% 目录,并作为一个服务安装,为了在每次系统启动时自动运行病毒。服务有以下特征:
Service name: Register Manager
Display name: Register Manager
Path to executable: %Windows%
egent.exe
Startup type: Automatic
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShell Extensions = "%Windows%
egent.exe"
注:'%Windows %'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:Winnt; 95,98 和 ME 的是C:Windows; XP 的是C:Windows。
这个变体还会生成以下注册表,为了储存它自己使用的数据:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShell Extensions12
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShell Extensions13
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShell Extensions14 = ""
传播方式
通过漏洞传播
Win32/Petribot.AMJ通过攻击以下系统漏洞和第三方软件漏洞进行传播:
Microsoft Windows LSASS buffer overflow vulnerability (TCP 445端口)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP 135, 445端口)
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank 'sa' password vulnerability (TCP 1433端口)
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q321081
FTPD buffer overflow vulnerabilities
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?ID=1833
通过网络共享传播
Win32/Petribot.AMJ 通过Windows 文件共享感染远程机器。它通过探测TCP 139 和 445端口扫描目标机器。如果它能够连接这两个端口的任意一个,它就会连接Windows 共享:
\ipc$
这里的是病毒尝试感染的机器名。
如果连接成功,它就会尝试获取目标机器的用户名列表,随后使用这些用户名访问系统。如果它不能获取用户名列表,它就会尝试使用以下用户名:
administrator
administrador
administrateur
administrat
admins
admin
staff
root
computer
owner
student
teacher
wwwadmin
guest
default
database
dba
oracle
db2
蠕虫尝试复制到以下位置:
Admin$
Admin$system32
c$winntsystem32
c$windowssystem32
d$winntsystem32
d$windowssystem32c$
d$
e$
f$
g$
h$
IPC$
如果成功连接,蠕虫就会复制到目标机器,并安排一个远程任务,在目标机器上运行蠕虫的副本。
危害
后门功能(端口:可变的)
Win32/Petribot.AMJ包含后门功能,允许未经授权的访问,并控制被感染机器。它通过IRC控制,连接到不同的服务器、端口和信道。利用后门,Petribot.AMJ的控制者可能执行以下操作:
列出并停止线程;
获取mIRC 信息,并控制mIRC;
添加/删除/读取注册表键值;
从注册表获取HTTP Mail 和 POP3 mail 的帐户名;
获取系统信息(例如:驱动器,内存,IP地址,用户名等);
添加/删除/运行文件;
浏览驱动器/目录;
通过FTP下载/上传文件;
执行DNS 查询;
在其它的IRC host/channel 上启动slave bots;
列出/终止进程;
获取 bot 版本/状况;
改变端口;
在任意端口启动一个SOCKS proxy ;
在TCP或UDP端口探测信息包来监控机器的网络流量;
退出bot ;
将IRC 信息加密;
扫描IP地址段的机器漏洞进行攻击;
启动DoS 攻击(Denial of Service),例如UDP flood, ICMP flood 和 ACK flood。
其它信息
蠕虫访问http://www.google.com来确定是否能够访问Internet。
蠕虫使用以下站点来确定本地机器的外部IP:
http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/prxjdg.cgi
http://www.kinchan.net/cgi-bin/proxy.cgi
http://www.pistarnow.is.net.pl/azenv.php
http://cgi.break.power.ne.jp/check/prxjdg.cgi
http://www.proxy4free.info/cgi-bin/prxjdg.cgi
http://69.59.137.236/cgi/prxjdg.cgi
http://tutanchamon.ovh.org/azenv.php
http://www.proxy.us.pl/azenv.php
http://test.anonproxies.com/azenv.php
http://www.nassc.com/pr.php
http://www.littleworld.pe.kr/azenv.php
http://www.anonymitytest.com/cgi-bin/azenv.pl
http://tn0828-web.hp.infoseek.co.jp/cgi-bin/proxyjudge.cgi
清除:
KILL安全胄甲Vet 30.7.3717版本可检测/清除此病毒。
