病毒名称(中文):
Bot幽灵
病毒别名:
威胁级别:
★★★☆☆
病毒类型:
黑客程序
病毒长度:
60416
影响系统:
其它
病毒行为:
这是一种集IRC后门、蠕虫功能于一体的,通过网络共享和操作系统漏洞(MS03-026、MS02-061、MS03-007、MS04-011等)进行传播的病毒。病毒会尝试通过弱密码登陆目标系统。病毒还会在感染的电脑上打开后门接收攻击者发出的指令,然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码,占用大量网络带宽资源,轻易造成局域网阻塞。它通过IRC服务器接受攻击者发出的指令,例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的帐号、对指定的IP进行DoS(拒绝服务)攻击等。这次的变种还会释放并安装一个驱动模块rdriv.sys(Troj.Rootkit.l),该模块用于隐藏445端口,使得病毒主程序在访问端口时不会被网络防火墙发现。同时病毒还会隐藏自身进程,使其从任务治理器中消失。由于病毒使用了高度隐藏技术,因此用户中招后很难察觉,最终沦为网络僵尸,被黑客完全操纵。
1、将自身复制到以下目录
%SystemRoot%\extel.exe
2、释放以下驱动文件
rdriv.sys(用于隐藏自身进程,及445端口)
3、添加以下服务:
Externtelecom
用于每次开机时,启动自身
4、通过IRC登录服务器,接受黑客控制,控制命令如下:
all
login
l
threads
t
sub
kill
k
logout
lo
who
remove
bye
testdlls
cel
uptime
up
installed
it
version
v
status
s
secure
sec
unsecure
unsec
process
ps
list
kill
del
hide
create
nickupdate
nu
randnick
rand
exploitftpd
eftpd
socks4
s4
redirect
rd
speedtest
speed
netstatp
nsp
sniffer
sniff
iestart
ies
encrypt
enc
join
j
part
p
raw
r
prefix
pr
resolve
dns
currentip
cip
stats
st
banner
ban
advscan
asc
scanall
sa
lsascan
lsa
ntscan
nts
wksescan
wkse
wksoscan
wkso
flusharp
farp
flushdns
fdns
pstore
pst
sysinfo
si
netinfo
ni
driveinfo
di
total
t
mb
gb
mirccmd
mirc
system
sys
file
f
type
cat
exists
ex
del
rm
rmdir
move
mv
copy
cp
attrib
at
open
op
down
wget
update
upd
if
i
else
e
nick
n
host
h
id
uptime
up
recordup
rup
private
p
status
5、使用密码表进行猜解治理员帐号:
admin
root
0
1
111
12
123
1234
12345
123456
654321
!@#$
!@#$%
!@#$%^
!@#$%^&
asdf
asdfgh
server
