病毒名称:
Backdoor.Wootbot.dy
类别: 后门病毒
病毒资料:
破坏方法:
集蠕虫,后门一身的病毒。
一旦执行,病毒将自我复制系统文件夹.
它将在注册表中创建键值来使自己随Windows系统自启动
网络传播:
该病毒利用在 windows 2000 和 XP 系统上的Remote Procedure Call (RPC) Distributed Component Object Model (DCOM)漏洞。该漏洞允许攻击者获得在目标机器上完全的访问权限和执行代码权利。
通过对随机的 TCP/IP 地址的135端口的进行扫描,找到网络中存在安全漏洞的系统。
(Microsoft Security Bulletin MS03-026 )
该病毒还会利用 Windows NT, 2000, 和 XP 系统上的 RPC locator安全漏洞。它对随机的 TCP/IP 地址的445端口进行扫描,找到网络中存在安全漏洞的机器。
(Microsoft Security Bulletin MS03-001 )
它可以进行IPC弱口令猜测,带有一个很大的猜密词典,建议用户最好将密码设置越复杂越好。
后门功能 :
该病毒拥有后门程序功能,它允许远程用户获取访问受感染系统的权限。
它连接到一个Internet Relay Chat (IRC)频道,并成为一种bot,等待来自恶意用户的下面命令:
发送如下的系统信息:
CPU 速度
内存大小
Windows 平台, 版本号和产品 ID
病毒正常运行时间
当前登陆的用户
使共享网络失效
结束恶意程序
通过 DNS 解析 IP 和主机名
获取病毒状态
执行文件
打开文件
对 DNS 缓冲区进行洪水攻击
使 DCOM 失效/ 使共享失效
对 IRC 服务器断开/重新连接
改变 IRC 服务器
加入一个通道
离开一个通道
通过 IRC 发送私人信息
通过 HTTP 或 FTP 更新病毒
从 HTTP 或 FTP 服务器下载并执行一个文件
重启电脑
关闭电脑
使当前用户退出登陆
对正在运行的所有进程列表
对目标机器执行下面的洪水攻击:
ICMP Flood 攻击
UDP Flood 攻击
SYN Flood 攻击
HTTP Flood 攻击
信息盗取:
它能够盗取用户系统信息,包括:
一些软件的CDKEY,序列号,ID,Email地址、Yahoo User ID等
记录键盘操作:
病毒通过记录被感染的机器的键盘操作记录从而盗取信息;
由于该病毒会自动扫描、攻击internet上的机器,占用大量资源,导致系统运行速度下降。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-6