病毒名称:
Backdoor.IRCBot.RPC
类别: 后门病毒
病毒资料:
破坏方法:
使用RPC漏洞传播、通过IRC进行控制的后门病毒
一、病毒复制自身到系统目录,文件名称随机。病毒大小为10879字节。
二、修改注册表以自启动。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Windows Update" : %SYSTEM%\GSTPSK.EXE (名称随机)
三、病毒申请eXPlorer.exe的堆内存,把自身拷贝到其中,创建若干个病毒线程。
1. 监听3067端口,等待远程控制命令。
2. 监听3587端口,负责病毒自身的传播。
3. 试图链接下列IRC站点,试图以某个昵称登陆6667端口,建立通讯后接收控制命令。
1irc.kar.net
gASPode.zanet.org.za
lia.zanet.net
irc.tsk.ru
london.uk.eu.undernet.org
washington.dc.us.undernet.org
los-angeles.ca.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
moscow-advokat.ru
4. 创建若干个扫描线程,以本地IP为基础,扫描445端口,试图发现有效的IP地址。
使用震荡波病毒使用的RPC漏洞进程传播。
四、被攻击的机器有时会重启。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-6-21