Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法

　　文件名称：video.exe

　　文件大小：40960 bytes

　　AV命名：Backdoor.Win32.IRCBot.afm (Kaspersky)

　　加壳方式：未知

　　编写语言：Microsoft Visual C++

　　病毒类型：IRC后门

　　文件MD5：c06d070c232bc6ac6346cbd282ef73ae

　　行为分析:

　　1、释放病毒副本：

　　%Srstemroot%system32firewall.exe 40960 字节。

　　（文件名应该是随机的，不一定是这个）。

　　压缩副本病毒，保存为压缩包。并随机命名，可能是：

　　IMG0007.PICTUREUPLOAD.COM

　　IMG0007

　　game

　　video

　　photoalbum

　　2、修改注册表，开机自启：

　　HKLMSOFTWAREMICROSOFTWindowsCURRENTVERSIONRun

　　Registry value: Windows Network Firewall Type: REG_SZ

　　指向：%Srstemroot%system32firewall.exe

　　3、添加到系统防火墙的忽略列表：

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsListList

　　键名为：%Srstemroot%system32firewall.exe，实现穿墙。

　　4、连接72.10.167.**IRC服务器，接受远程控制，可在被控端终止任意进程，并利用为跳板或DDOS攻击。

　　可能接受以下命令：

　　QUIT

　　PART

　　JOIN

　　TOPIC

　　NOTICE

　　PRIVMSG

　　ddos

　　servu

　　serv u

　　serv-u

　　clone

　　flood

　　5、下载其他木马，技术行为都差不多，随机命名的。

　　6、枚举局域网络资源，尝试利用IPC、print、Admin等共享传播病毒，以下面字典猜用户和口令：

　　db1234

　　databasepassword

　　databasepass

　　dbpassword

　　dbpass

　　domainpassword

　　domainpass

　　hello

　　hell

　　love

　　money

　　slut

　　**

　　**

　　exchange

　　loginpass

　　login

　　win2000

　　winnt

　　winxp

　　win2k

　　win98

　　windows

　　oeminstall

　　accounting

　　accounts

　　letmein

　　outlook

　　mail

　　qwerty

　　temp123

　　temp

　　null

　　default

　　changeme

　　demo

　　test

　　2005

　　2004

　　2001

　　secret

　　payday

　　deadline

　　work

　　1234567890

　　123456789

　　12345678

　　1234567

　　123456

　　12345

　　1234

　　pass

　　pass1234

　　passwd

　　password

　　password1

　　若成功，则拷贝病毒副本至对方目录，可能是：

　　C:Documents and SettingsAll UsersDocumentsc:windowssystem32

　　c:winntsystem32

　　c:windows

　　c:winnt

　　7、利用系统漏洞传播（Lsass、RPC等漏洞），攻击的IP范围：

　　124.72.143.173（起始） - 随机。

　　被攻破的计算机可能被传播该病毒。

　　8、尝试以管理员身份连接其他服务器，可能是下列未授权的用户名：

　　staff

　　teacher

　　owner

　　student

　　intranet

　　main

　　office

　　control

　　siemens

　　compaq

　　dell

　　cisco

　　oracle

　　data

　　access

　　database

　　domain

　　backup

　　technical

　　mary

　　katie

　　kate

　　george

　　eric

　　none

　　guest

　　chris

　　neil

　　brian

　　susan

　　luke

　　peter

　　john

　　mike

　　bill

　　fred

　　wwwadmin

　　oemuser

　　user

　　homeuser

　　home

　　internet

　　root

　　server

　　linux

　　unix

　　computer

　　admin

　　admins

　　administrat

　　administrateur

　　administrador

　　administrator

　　如成功，则读取并试图破解FlashFXPsites.dat。

　　然后可能会将病毒文件复制到该服务器。

　　9、尝试盗取一些CD-Key，可能是Unreal3、World Of Warcraft等。

　　解决方法：

　　1、下载sreng2.zip

　　2、重启，按F8进入安全模式。

　　3、打开SREng，删除注册表：

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

　　 []

　　PS:可能键值也文件名不同。注意区别哈，不懂的话，把日志发到反毒区。。

　　4、一定要打齐系统漏洞。。

　　您可能感兴趣的文章: