Backdoor.Win32.IRCBot.aba分析報告

字號:

病毒名稱: Backdoor.Win32.IRCBot.aba
    病毒類型: 后門類
    文件MD5: 8F6CB8D895E60387FE3E41377D0F0D3F
    文件長度: 270,848 字節(jié)
    感染系統(tǒng): windows 98以上版本
    加殼類型: 未知殼
    病毒描述:
    該病毒為后門類,病毒運行后復(fù)制自身到系統(tǒng)目錄,并重命名為mozila.exe,并刪除自身。 修改注冊表,添加啟動項,以達到隨機啟動的目的。把自身副本文件添加到防火墻默認放行列表。連接到IRC服務(wù)器,等待受控。
    行為分析:
    1、病毒運行后衍生文件:
    %System32%\mozila.exe
    2、修改注冊表,添加啟動項,以達到隨機啟動的目的:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    鍵值: 字串: "Mozila " = " C:\Windows\System32\mozila.exe "
    3、連接網(wǎng)絡(luò),下載相關(guān)病毒文件信息:
    協(xié)議:TCP
    地址:www.tgiweb.com
    端口: 80
    下載文件:radi.exe
    4、把自身副本文件添加到防火墻默認放行列表:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\mozila.exe
    鍵值: 字符串: "C:\WINDOWS\system32\mozila.exe:*:Enabled:mozila"
    5、連接到IRC服務(wù)器,等待受控,命令說明如下:
    IRC命令如:
    /join <#閑聊室> [該閑聊室的密碼]
    /nick <新別名>
    /quit [退出連接的理由]
    ……
    對目標(biāo)主機的操作:
    下載文件
    發(fā)起拒絕服務(wù)(DDOS)攻擊
    執(zhí)行IRC命令
    執(zhí)行系統(tǒng)掃描
    注釋:
    %Windir% WINDODWS所在目錄
    %DriveLetter% 邏輯驅(qū)動器根目錄
    %ProgramFiles% 系統(tǒng)程序默認安裝目錄
    %HomeDrive% 當(dāng)前啟動系統(tǒng)所在分區(qū)
    %Documents and Settings% 當(dāng)前用戶文檔根目錄
    %Temp% 當(dāng)前用戶TEMP緩存變量;路徑為:
    %Documents and Settings%\當(dāng)前用戶\Local Settings\Temp
    %System32% 是一個可變路徑;
    病毒通過查詢操作系統(tǒng)來決定當(dāng)前System32文件夾的位置;
    Windows2000/NT中默認的安裝路徑是 C:\Winnt\System32;
    Windows95/98/Me中默認的安裝路徑是 C:\Windows\System;
    WindowsXP中默認的安裝路徑是 C:\Windows\System32.
    清除方案:
    1、使用安天木馬防線可徹底清除此病毒(推薦),請到安天網(wǎng)站下載:www.antiy.com .
    2、手工清除請按照行為分析刪除對應(yīng)文件,恢復(fù)相關(guān)系統(tǒng)設(shè)置。推薦使用ATool(安天安全管理工具),ATool下載地址: www.antiy.com或http://www.antiy.com/download/index.htm .
    (1) 使用安天木馬防線或ATool中的“進程管理”關(guān)閉病毒進程
    (2) 強行刪除病毒文件
    %System32%\mozila.exe
    (3) 恢復(fù)病毒修改的注冊表項目,刪除病毒添加的注冊表項
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    鍵值: 字串: "Mozila " = " C:\Windows\System32\mozila.exe "
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\mozila.exe
    鍵值: 字符串: "C:\WINDOWS\system32\mozila.exe:*:Enabled:mozila"