Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法
Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法
发布时间:2016-12-26 来源:查字典编辑
摘要:文件名称:video.exe文件大小:40960bytesAV命名:Backdoor.Win32.IRCBot.afm(Kaspersky)...

文件名称:video.exe

文件大小:40960bytes

AV命名:Backdoor.Win32.IRCBot.afm(Kaspersky)

加壳方式:未知

编写语言:MicrosoftVisualC++

病毒类型:IRC后门

文件MD5:c06d070c232bc6ac6346cbd282ef73ae

行为分析:

1、释放病毒副本:

%Srstemroot%system32firewall.exe40960字节。

(文件名应该是随机的,不一定是这个)。

压缩副本病毒,保存为压缩包。并随机命名,可能是:

IMG0007.PICTUREUPLOAD.COM

IMG0007

game

video

photoalbum

2、修改注册表,开机自启:

HKLMSOFTWAREMICROSOFTWindowsCURRENTVERSIONRun

Registryvalue:WindowsNetworkFirewallType:REG_SZ

指向:%Srstemroot%system32firewall.exe

3、添加到系统防火墙的忽略列表:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsListList

键名为:%Srstemroot%system32firewall.exe,实现穿墙。

4、连接72.10.167.**IRC服务器,接受远程控制,可在被控端终止任意进程,并利用为跳板或DDOS攻击。

可能接受以下命令:

QUIT

PART

JOIN

TOPIC

NOTICE

PRIVMSG

ddos

servu

servu

serv-u

clone

flood

5、下载其他木马,技术行为都差不多,随机命名的。

6、枚举局域网络资源,尝试利用IPC、print、Admin等共享传播病毒,以下面字典猜用户和口令:

db1234

databasepassword

databasepass

dbpassword

dbpass

domainpassword

domainpass

hello

hell

love

money

slut

**

**

exchange

loginpass

login

win2000

winnt

winxp

win2k

win98

windows

oeminstall

accounting

accounts

letmein

outlook

mail

qwerty

temp123

temp

null

default

changeme

demo

test

2005

2004

2001

secret

payday

deadline

work

1234567890

123456789

12345678

1234567

123456

12345

1234

pass

pass1234

passwd

password

password1

若成功,则拷贝病毒副本至对方目录,可能是:

C:DocumentsandSettingsAllUsersDocumentsc:windowssystem32

c:winntsystem32

c:windows

c:winnt

7、利用系统漏洞传播(Lsass、RPC等漏洞),攻击的IP范围:

124.72.143.173(起始)-随机。

被攻破的计算机可能被传播该病毒。

8、尝试以管理员身份连接其他服务器,可能是下列未授权的用户名:

staff

teacher

owner

student

intranet

main

office

control

siemens

compaq

dell

cisco

oracle

data

access

database

domain

backup

technical

mary

katie

kate

george

eric

none

guest

chris

neil

brian

susan

luke

peter

john

mike

bill

fred

wwwadmin

oemuser

user

homeuser

home

internet

root

server

linux

unix

computer

admin

admins

administrat

administrateur

administrador

administrator

如成功,则读取并试图破解FlashFXPsites.dat。

然后可能会将病毒文件复制到该服务器。

9、尝试盗取一些CD-Key,可能是Unreal3、WorldOfWarcraft等。

解决方法:

1、下载sreng2.zip

2、重启,按F8进入安全模式。

3、打开SREng,删除注册表:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

<WindowsNetworkFirewall><C:winntsystem32firewall.exe>[]

PS:可能键值也文件名不同。注意区别哈,不懂的话,把日志发到反毒区。。

4、一定要打齐系统漏洞。。

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类