Backdoor/Norbot.ce
Backdoor/Norbot.ce
病毒长度:大约 310K
病毒类型:后门
危害等级:**
影响平台:Win9X/2000/XP/NT/Me/2003
Backdoor/Norbot.ce经PE Diminisher压缩,通过弱密码和微软漏洞进行传播,还通过"雏鹰"和"Mydoom"开的后门复制自身进行传播。它允许攻击者通过特定的IRC频道访问感染的计算机。
利用的微软漏洞包括:
MS03-026:DCOM RPC漏洞
MS03-007:WebDav漏洞
MS03-049:Workstation service缓冲区溢出漏洞
MS03-001:Locator service漏洞
MS03-043:Messenger Service缓冲区溢出漏洞
MS01-059:UPnP漏洞
MS02-061:Microsoft SQL Server 2000和MSDE 2000审计漏洞
传播过程及特征:
1.复制自身为:
%System%\\winhlpp32.exe.
%System%\\agp32.exe
%System%\\explored.exe
%System%\etsvcs.exe
%System%\\ascdl.exe
%System%\\regsvc32.exe
2.修改注册表:
/添加键值:
"Symantec Security Routine Addon" = "%System%\\winhlpp32.exe"
"agp" = "agp32.exe"
"Windows Login" = "explored.exe"
"Video Process" = "netsvcs.exe"
"Microsoft Update" = "ascdl.exe"
"Generic Services Process" = "regsvc32.exe"
到注册表启动项:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
/删除注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下的键值:
"Ssate.exe"
"rate.exe"
"d3dupdate.exe"
"TaskMon"
"Explorer"
3.终止反病毒和防火墙软件进程以及下列进程:
irun4.exe
i11r54n4.exe
winsys.exe
bbeagle.exe
taskmon.exe
4.删除文件:
%System%\\irun4.exe
%System%\\i11r54n4.exe
%System%\\winsys.exe
%System%\\bbeagle.exe
%System%\\taskmon.exe
删除服务:pnphost
5.修改 %System%\\drivers\\etc\\hosts文件,导致用户不能访问一些反病毒网站。
6.在随机选择的TCP端口运行FTP服务器。
7.连接到一个IRC服务器,用自己的IRC客户端,做如下操作:
/通过FTP和HTTP下载上传文件
/执行命令
/列出并终止进程
/列出并终止服务
/重起计算机
/发起HTTP flood、ICMP flood、SYN flood、UDP flood攻击
/查找存储在计算机上的邮件地址
/通过HTTP查找邮件地址表
/搜索假设的URL
/吸收HTTP、FTP和IRC流量
/通过向一些站点发送HTTP GET请求来测量被感染计算机的连接速度
/删除一些病毒添加的文件以及注册表键值,并结束它们的相关进程
/盗取Windows的生产ID号和一些视频游戏的CD keys
8.探测下列共享并试图取得共享权限,以达到复制自身到共享目录下进行传播:
c$
d$
e$
print$
admin$
取得共享权限使用的用户名一部分是通过NetUserEnum()函数得到的。