病毒名称: Backdoor.Win32.VanBot.ax
中文名称: IRC后门
病毒类型: 后门类
文件 MD5: A1053B6AFA67509CFF9F5B9AD166F316
公开范围: 完全公开
危害等级: 高
文件长度: 56,440 字节
感染系统: WinNT4以上系统
开发工具: Microsoft Visual C++ 6.0
加壳工具: 未知壳
命名参考: SOPHOS[W32/Vanebot-AW]
病毒描述:
该病毒运行后,衍生病毒文件到系统目录下,添加注册表自动运行项以随机引导病毒体。创建大量线程用于扫描用户所在网络,若发现存默认共享或弱口令则传播自身。此病毒为一个利用Windows平台下IRC协议的网络蠕虫,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp等恶意行为。
行为分析:
1 、衍生下列副本与文件:
%System32%iexplorer.exe
%System32%jhxn.exe
2 、新建注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunAdvanced
DHTML Enable
Value: String: "%WinDir%System32 jhxn.exe "//此处文件名为随机生成
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunMicrosoft
Internet Explorer
Value: String: "%WinDir%System32 iexplore.exe"//此处文件名可能为
Firewall.exe
3 、创建大量扫描线程用以扫描存在漏洞的本地网络。
4 、自动连接的IRC服务器:
220.198.59.***:9928
220.196.59.***:3938
67.43.236.**:2938
5 、连接IRC服务器信息如下:
USER oursxb oursxb oursxb :qdvwwaiuhmiyjygl
NICK eIBnErNT
PING :66609D09
PONG :66609D09
:@_@ 001 eIBnErNT:
MODE eIBnErNT +xi
JOIN #siwa
USERHOST eIBnErNT
:x.hub.x 332 eIBnErNT
#siwa :=xAgVMf81RvN+xBBhG+xXwttpTsaSBfWeekvMkmkVNcbo20jZvmkCo7CUU
bRsdRPzz6wiS1OY8pcXg3d9ucVufq2bgQ1mvh+9OBJDwIuw1kOamPaw+2jw/CTaWV
QRjrX8Xl2Iph
6 、病毒体下载的地址:
Host: 220.196.59.***/packed_7711.exe
7 、创建自删除批处理文件删除自身。
8 、病毒可利用以下漏洞传播自身:
LSASS (MS04-011),
SRVSVC (MS06-040),
RPC-DCOM (MS04-012),
PNP (MS05-039),
网络共享及弱口令
注:%System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的
安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线结束病毒进程, 病毒常生产的进程名为下列两个:
iexplorer.exe
Firewall.exe
(2)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunAdvanced DHTML Enable
Value: String: "%WinDir%System32 jhxn.exe "
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunMicrosoft Internet Explorer
Value: String: "%WinDir%System32 iexplore.exe "
(3) 删除病毒释放文件:
%System32%iexplorer.exe
%System32% jhxn.exe
(4) 使用木马防线的补丁功能打全补丁。