Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法
更新时间:2007年09月28日 20:14:33 作者:
文件名称:video.exe
文件大小:40960 bytes
AV命名:Backdoor.Win32.IRCBot.afm (Kaspersky)
加壳方式:未知
编写语言:Microsoft Visual C++
病毒类型:IRC后门
文件MD5:c06d070c232bc6ac6346cbd282ef73ae
行为分析:
1、释放病毒副本:
%Srstemroot%system32\firewall.exe 40960 字节。
(文件名应该是随机的,不一定是这个)。
压缩副本病毒,保存为压缩包。并随机命名,可能是:
IMG0007.PICTUREUPLOAD.COM
IMG0007
game
video
photoalbum
2、修改注册表,开机自启:
HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
Registry value: Windows Network Firewall Type: REG_SZ
指向:%Srstemroot%system32\firewall.exe
3、添加到系统防火墙的忽略列表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\List
键名为:%Srstemroot%system32\firewall.exe,实现穿墙。
4、连接72.10.167.**IRC服务器,接受远程控制,可在被控端终止任意进程,并利用为跳板或DDOS攻击。
可能接受以下命令:
QUIT
PART
JOIN
TOPIC
NOTICE
PRIVMSG
ddos
servu
serv u
serv-u
clone
flood
5、下载其他木马,技术行为都差不多,随机命名的。
6、枚举局域网络资源,尝试利用IPC、print、Admin等共享传播病毒,以下面字典猜用户和口令:
db1234
databasepassword
databasepass
dbpassword
dbpass
domainpassword
domainpass
hello
hell
love
money
slut
**
**
exchange
loginpass
login
win2000
winnt
winxp
win2k
win98
windows
oeminstall
accounting
accounts
letmein
outlook
mail
qwerty
temp123
temp
null
default
changeme
demo
test
2005
2004
2001
secret
payday
deadline
work
1234567890
123456789
12345678
1234567
123456
12345
1234
pass
pass1234
passwd
password
password1
若成功,则拷贝病毒副本至对方目录,可能是:
C:\Documents and Settings\All Users\Documentsc:\windows\system32
c:\winnt\system32
c:\windows
c:\winnt
7、利用系统漏洞传播(Lsass、RPC等漏洞),攻击的IP范围:
124.72.143.173(起始) - 随机。
被攻破的计算机可能被传播该病毒。
8、尝试以管理员身份连接其他服务器,可能是下列未授权的用户名:
staff
teacher
owner
student
intranet
main
office
control
siemens
compaq
dell
cisco
oracle
data
access
database
domain
backup
technical
mary
katie
kate
george
eric
none
guest
chris
neil
brian
susan
luke
peter
john
mike
bill
fred
wwwadmin
oemuser
user
homeuser
home
internet
root
server
linux
unix
computer
admin
admins
administrat
administrateur
administrador
administrator
如成功,则读取并试图破解FlashFXP\sites.dat。
然后可能会将病毒文件复制到该服务器。
9、尝试盗取一些CD-Key,可能是Unreal3、World Of Warcraft等。
解决方法:
1、下载sreng2.zip
2、重启,按F8进入安全模式。
3、打开SREng,删除注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Windows Network Firewall><C:\winnt\system32\firewall.exe> []
PS:可能键值也文件名不同。注意区别哈,不懂的话,把日志发到反毒区。。
4、一定要打齐系统漏洞。。
文件大小:40960 bytes
AV命名:Backdoor.Win32.IRCBot.afm (Kaspersky)
加壳方式:未知
编写语言:Microsoft Visual C++
病毒类型:IRC后门
文件MD5:c06d070c232bc6ac6346cbd282ef73ae
行为分析:
1、释放病毒副本:
%Srstemroot%system32\firewall.exe 40960 字节。
(文件名应该是随机的,不一定是这个)。
压缩副本病毒,保存为压缩包。并随机命名,可能是:
IMG0007.PICTUREUPLOAD.COM
IMG0007
game
video
photoalbum
2、修改注册表,开机自启:
HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
Registry value: Windows Network Firewall Type: REG_SZ
指向:%Srstemroot%system32\firewall.exe
3、添加到系统防火墙的忽略列表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\List
键名为:%Srstemroot%system32\firewall.exe,实现穿墙。
4、连接72.10.167.**IRC服务器,接受远程控制,可在被控端终止任意进程,并利用为跳板或DDOS攻击。
可能接受以下命令:
QUIT
PART
JOIN
TOPIC
NOTICE
PRIVMSG
ddos
servu
serv u
serv-u
clone
flood
5、下载其他木马,技术行为都差不多,随机命名的。
6、枚举局域网络资源,尝试利用IPC、print、Admin等共享传播病毒,以下面字典猜用户和口令:
db1234
databasepassword
databasepass
dbpassword
dbpass
domainpassword
domainpass
hello
hell
love
money
slut
**
**
exchange
loginpass
login
win2000
winnt
winxp
win2k
win98
windows
oeminstall
accounting
accounts
letmein
outlook
qwerty
temp123
temp
null
default
changeme
demo
test
2005
2004
2001
secret
payday
deadline
work
1234567890
123456789
12345678
1234567
123456
12345
1234
pass
pass1234
passwd
password
password1
若成功,则拷贝病毒副本至对方目录,可能是:
C:\Documents and Settings\All Users\Documentsc:\windows\system32
c:\winnt\system32
c:\windows
c:\winnt
7、利用系统漏洞传播(Lsass、RPC等漏洞),攻击的IP范围:
124.72.143.173(起始) - 随机。
被攻破的计算机可能被传播该病毒。
8、尝试以管理员身份连接其他服务器,可能是下列未授权的用户名:
staff
teacher
owner
student
intranet
main
office
control
siemens
compaq
dell
cisco
oracle
data
access
database
domain
backup
technical
mary
katie
kate
george
eric
none
guest
chris
neil
brian
susan
luke
peter
john
mike
bill
fred
wwwadmin
oemuser
user
homeuser
home
internet
root
server
linux
unix
computer
admin
admins
administrat
administrateur
administrador
administrator
如成功,则读取并试图破解FlashFXP\sites.dat。
然后可能会将病毒文件复制到该服务器。
9、尝试盗取一些CD-Key,可能是Unreal3、World Of Warcraft等。
解决方法:
1、下载sreng2.zip
2、重启,按F8进入安全模式。
3、打开SREng,删除注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Windows Network Firewall><C:\winnt\system32\firewall.exe> []
PS:可能键值也文件名不同。注意区别哈,不懂的话,把日志发到反毒区。。
4、一定要打齐系统漏洞。。
您可能感兴趣的文章:
- python使用win32com在百度空间插入html元素示例
- win32使用openfilename浏览文件窗口示例
- python字符串加密解密的三种方法分享(base64 win32com)
- 如何使一个HTA位于屏幕中心(Win32_DesktopMonitor)
- c#用Treeview实现FolderBrowerDialog 和动态获取系统图标(运用了Win32 dll类库)
- WMI中的Win32_PingStatus类(ping命令实现)
- nginx win32 版本静态文件测试 (Windows环境)
- win32安装配置非安装版的MySQL
- iis Win32状态数值(sc-win32-status)说明
- PSW.Win32.Magania.ffw(F3C74E3FA248.exe)病毒的清除
- Worm.Win32.AutoRun.bqn病毒分析解决
- inst.exe,Setup.exe木马Trojan-PSW.Win32.Magania.cjy解决方法
- Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀
- 木马程序Trojan-Spy.Win32.Agent.cfu清除方法
- MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决
- 木马下载器Win32.TrojDownloader.Delf.114688
- recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法
- win32 api实现简单的消息窗口示例
相关文章
比较彻底的解决方法无法显示隐藏文件夹"修改过注册表也无效"的解决方法
今天新装了XP SP2系统,原来其它盘里的隐藏文件和文件夹全部无法显示!2007-08-08
最新评论