Backdoor.Win32.IRCbot.ace
Backdoor.Win32.IRCbot.ace
该病毒运行后,衍生病毒文件到系统目录下,添加注册表自动运行项以跟随系统引导病毒体。病毒体从指定服务器下载病毒体到本机运行,连接 IRC 服务器等待接收指令。枚举本地网络地址,对目的地址 135 端口进行扫描予以溢出。此病毒可通过网络共享、弱口令传播。
病毒信息
病毒名称: Backdoor.Win32.IRCbot.ace
中文名称: IRC后门
病毒类型: 后门类
文件 MD5: AE08FBD92E55036EDC296D5BF99B5700
公开范围: 完全公开
危害等级: 4
文件长度: 73,317 字节
感染系统: WinNT以上系统
开发工具: Microsoft Visual C++ 6.0
加壳类型: Krypton 0.5变形壳
行为分析
1 、复制自身到 %system32% 文件夹下,并按内置列表随机重新命名。
内置列表:
winamp.exe
winIogon.exe
firewall.exe
spooIsv.exe
spoolsvc.exe
Isass.exe
lssas.exe
algs.exe
logon.exe
iexplore.exe
csrs.exe
2 、新建注册表键值:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键值:字串: "Windows Logon Application"="C:\\WINDOWS\\System32\\( 病毒名 )"
3 、衍生自删除 bat 文件在当前路径下,并调用删除自身, bat 文件名为随机生成。
4 、 IRC 服务器名:
5 、加入的 IRC 频道名:
频道名: #last
频道名: #rs2
用户名:随机
密码:空
6 、 IRC 服务端可响应下列命令:
nick :设置昵称
quit :退出
join :加入一个频道
open :
user: 设置用户名
unkuser %s %s %s :%s
pass: 设置口令
notice %S privmsg %s:
privmsg %s
notice %s :privmsg %s :
message
send
ping: 服务端向客户端发送 ping 命令
pong: 客户端回应 pong 命令
dcc send %s (%s): 传送文件
get /%s http/1.0\\host: %s\\\\
mode %s +smntu :修改频道或用户模式
mode %s +xi001mode %s +smntu
userhost %smode %s +xi001mode %s +smntu
userhost %smode %s +xi001mode %s +smntu
451userhost %smode %s +xi001mode %s +smntu
302451userhost %smode %s +xi001mode %s +smntu
// 扫描命令模式
-x 3 2000 fh 1024 jan 1 0:00 .\\drwxr-xr-x 3 2000 fh 1024 jan 1 0:00 ..
\\-rwxr-xr-x 3 2000 fh %u jan 1 0:00 %s\\
226 -\\-x 3 2000 fh 1024 jan 1 0:00 .\\drwxr-xr-x 3 2000 fh 1024
jan 1 0:00 ..\\-rwxr-xr-x 3 2000 fh %u jan 1 0:00 % s\\
226 -\\-x 3 2000 fh 1024 jan 1 0:00 .\\drwxr-xr-x 3 2000 fh 1024
jan 1 0:00 ..\\-rwxr-xr-x 3 2000 fh %u jan 1 0:00 % s\\
7 、自动连接以下 IRC 服务器列表:
6*.4*.2*6.*6:5190
6*.4*.2*6.*6:10324
6*.4*.2*6.*6:8080
6*.4*.2*6.*6:1863
6*.4*.2*6.*7:5190
6*.4*.2*6.*7:8080
6*.4*.2*6.*7:10324
6*.4*.2*6.*7:1863
6*.4*.2*6.*8:10324
6*.4*.2*6.*8:1863
6*.4*.2*6.*8:5190
6*.4*.2*6.*8:8080
6*.4*.2*6.*9:5190
6*.4*.2*6.*9:10324
6*.4*.2*6.*9:8080
6*.4*.2*6.*9:1863
8 、下载服务器地址及文件:
72.10.167.74 (加拿大 纽宾士省 St.Quentin )
9 、枚举本地网络地址,创建大量线程扫描,发送 SYN 包到目的地址 135 端口,欲对目标地址
溢出攻击:
135/TCP epmap // 协议信息
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。
清除方案
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线断开网络,结束病毒进程。
(2)删除病毒衍生文件:
删除 %system32% 文件夹下的以下列表中的文件:
winamp.exe
winIogon.exe
firewall.exe
spooIsv.exe
spoolsvc.exe
Isass.exe
lssas.exe
algs.exe
logon.exe
iexplore.exe
csrs.exe
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
键值:字串: "Windows Logon Application"=
"C:\\WINDOWS\\System32\\( 病毒名 )"