Win32.Troj.Wootbot.am

病毒名称(中文):

序列号大盗变种

病毒别名:

Backdoor.Win32.Wootbot.am[AVP]

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

75264

影响系统:

Win9xWinNT

病毒行为:

这是一种集IRC后门、蠕虫功能于一体的，以盗取盗取序列号为主要目的的木马病毒。病毒运行后把自己复制自身到系统目录并改成系统文件的名字并将其加载为系统服务，企图迷惑用户，它同时还加载到注册表启动项，以使自己下次开机能够继续运行。它会在感染的电脑上打开后门接收攻击者发出的指令，然后连接特定的IRC服务器通知外界病毒的存在。它会扫描网段内的机器并猜测共享密码，会占用大量网络带宽资源，轻易造成局域网阻塞，它同时删除本机的共享目录。它通过IRC服务器接受攻击者发出的指令，例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取众多流行游戏的序列号、对指定的IP进行Dos（拒绝服务）攻击等。

1.将自己复制为%System%\msconfig.exe，并将其加载为系统服务msdev.exe。

2.修改注册表：

添加主键以及表项，用来启动服务msdev.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdev.exe

"Type"=dword:00000020

"Start"=dword:00000004

"ErrorControl"=dword:00000001

"ImagePath"="%System%\msconfig.exe"

"DisplayName"="msdev"

"ObjectName"="LocalSystem"

"FailureActions"=hex:ff,ff,ff,ff,00,00,00,00,00,00,00,00,01,00,00,00,a8,54,0d,00,01,00,00,00,01,00,00,00

"DeleteFlag"=dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdev.exe\Security

"Security"=<系统相关的十六进制代码>

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdev.exe\Enum

"0"="Root\\LEGACY_MSDEV.EXE\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDEV.EXE

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDEV.EXE\0000

"Service"="msdev.exe"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

"DeviceDesc"="msdev"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDEV.EXE\0000\Control

"*NewlyCreated*"=dword:00000000

"ActiveService"="msdev.exe"

添加主键以及表项，将病毒加载到注册表启动项：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"msdev"="msconfig.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

"msdev"="msconfig.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\msdev

"msdev"="msconfig.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

"msdev"="msconfig.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\msdev

"msdev"="msconfig.exe"

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run

"msdev"="msconfig.exe"

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce

"msdev"="msconfig.exe"

3.电脑上打开后门接收攻击者发出的指令，然后连接特定的IRC服务器通知外界病毒的存在。

4.病毒会扫描网段内的机器并猜测共享密码，会占用大量网络带宽资源，轻易造成局域网阻塞。假如连接成功病毒将自己复制到该主机，并且删除中毒电脑的共享目录。

5.搜集中毒电脑的各种序列号发送给攻击者。

• ·VBS.WinSys
• ·Win32.Troj.UpdatePart
• ·Win32.Troj.PSWMir
• ·BAT.Codered
• ·Bat.Batwin
• ·Win32.Troj.Snowdoor35
• ·VBS.Krim.B
• ·Linux.Simile
• ·Macro.Word97.Hich
• ·Win32.Troj.Lineage.ae