Backdoor/IRCBot.Cmst32.b

Backdoor/IRCBot.Cmst32.b

病毒长度：115,744 bytes

病毒类型：后门

影响平台：Win9X/2000/XP/NT/Me

Backdoor/IRCBot.Cmst32.b通过网络共享进行传播，利用弱密码和DCOM RPC漏洞在远程计算机上创建用户帐号。此外它作为后门连接一个IRC频道，允许黑客控制感染病毒的计算机。

传播过程及特征如下：

1.在系统目录下拷贝自身，文件名为：Spoolserv.exe ，Cmst32.exe ，Pctime32.bat，Runtime.bat，Smshost.exe，Svhost32.exe；此外还在Temp文件夹下拷贝自身为d.bat文件。

2.修改注册表：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下添加"Microsoft DirectX"="Spoolserv.exe"键值

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices下添加"Microsoft DirectX"="Spoolserv.exe"键值

设置HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Lsa下键值"restrictanonymous" = "1"

设置HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole下键值"EnableDCOM" = "N"

3.用Runtime.Bat和Pctime32.bat文件通过弱用户/密码和DCOM RPC漏洞，复制蠕虫为Cmst32.exe

4.发布一些共享和拒绝服务的命令，并试图删除navapsvc.exe和AUPDATE.EXE文件

5.加入一个IRC频道，等待黑客发出命令，如下：

搜索感染计算机的host信息

上传下载文件

执行文件

对其它计算机进行拒绝服务（DoS）攻击