蠕蟲病毒Win32.Duiskbot.AJ

Win32/Duiskbot.AJ是一種IRC控制的蠕蟲,通過攻擊Server Service中的一個漏洞進行傳播。它還可能傳送一個包含蠕蟲下載連結的即時訊息。蠕蟲的控制者能夠請求它執行不同的操作,包括拒絕服務攻擊、鍵盤記錄、傳送垃圾郵件、下載並運行任意檔案。

其它名稱

Mal/Behav-057 (Sophos), Backdoor.Win32.Mytobor.c (Kaspersky), W32.Spybot.Worm (Symantec)

病毒屬性

蠕蟲病毒

危害性

中等危害

流行程度

感染方式

運行時,Win32/Duiskbot.AJ複製到%System%\dllcache\ageofempires.exe,這個檔案是唯讀的隱含檔案,並作為一個服務註冊這個檔案,為了在每次系統啟動時運行病毒:

Service name: Age of Empires III: The WarChiefs

Display name: Age of Empires III: The WarChiefs

Description: Age of Empires III: The WarChiefs.

註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

它嘗試刪除原始的副本,如果失敗就會在系統重啟時立即刪除。

傳播方式

通過漏洞傳播

為了傳播,蠕蟲在某些連線埠探測潛在的機器。它通過IRC控制的後門接受命令。蠕蟲可能嘗試通過以下進行傳播:

§ RealVNC Authentication Bypass vulnerability (TCP 5800連線埠)

§ MS SQL (TCP 1433連線埠) - 針對"sa", "root" 或 "admin" 帳戶通過弱口令攻擊

§ MySQL (TCP 3306連線埠)

§ Microsoft Windows Server service buffer overflow vulnerability (TCP 139連線埠)。

請到以下站點下載相關的系統補丁:

http://www.microsoft.com/china/technet/security/Bulletin/MS06-040.mspx

§ Microsoft Windows Shell remote code execution vulnerability (Javascript)。

請到以下站點下載相關的系統補丁:

http://www.microsoft.com/technet/security/bulletin/ms06-057.mspx

Duiskbot.AJ嘗試使用以下弱口令:

00000000

0000000

000000

00000

0000

000

00

12

123

1234

12345

123456

1234567

12345678

123456789

abc123

access

adm

admin

alpha

anon

anonymous

asdfgh

backdoor

backup

beta

bin

coffee

computer

crew

database

debug

default

demo

free

go

guest

hello

install

internet

login

mail

manager

money

monitor

network

newpass

nick

nobody

nopass

one

oracle

pass

passwd

password

poiuytre

private

pub

public

qwerty

random

real

remote

root

ruler

secret

secure

security

server

setup

shadow

shit

sql

super

sys

system

telnet

temp

test

test1

test2

visitor

web

windows

www

默認的操作是探查系統,以被感染機器的IP位址前兩位開始,第三位元組和第四位元組依次測試所有值。蠕蟲的控制者還會指定其它的IP位址範圍。

如果攻擊成功,Duiskbot.AJ嘗試執行以下操作(當攻擊RealVNC漏洞時,蠕蟲只執行第三種操作):

使存在漏洞系統的反病毒軟體的服務失效(包括Norton, McAfee 和 Panda);

將代碼寫入C:\1.vbs檔案,運行代碼,隨後刪除這個檔案。這個代碼從HTTP伺服器下載一個Duiskbot.AJ 病毒副本,並在原始的被感染系統上運行,隨後運行這個下載的檔案;

如果上一步沒有成功,就會將一些FTP命令寫入%System%\x檔案,使用FTP 運行這些命令(從一個FTP伺服器下載一個Duiskbot.AJ 病毒副本在原始的被感染系統上運行),隨後運行下載的檔案並刪除%System%\x檔案。

蠕蟲使用"ageofempires.exe"檔案名稱保存到被攻擊的系統上,從HTTP或FTP伺服器被請求的檔案名稱通常使用以下任一個:

redworld.exe

redworld2.exe

<5digitrandomnumber>_redworld2.exe

蠕蟲使用的這些檔案名稱可能在瀏覽器的cache中發現,或副本的殘餘沒有正確的轉移可能還會有這些名字中的一個。

通過Instant Messenger傳播

Duiskbot.AJ可能被指示通過即時訊息客戶端(例如Yahoo! Messenger,MSN Messenger,ICQ 或 AOL Instant Messenger)進行傳播。如果被指令,Duiskbot.AJ就會傳送信息連線到一個惡意的連結。通過一個HTTP伺服器,Duiskbot.AJ可能回應一個HTML頁面。當存在漏洞的機器使用Internet Explorer瀏覽一個惡意頁面的時候,蠕蟲的副本將從攻擊主機下載到存在漏洞的機器上,並運行它。

危害

後門功能

Duiskbot.AJ包含後門功能,允許未經授權的訪問並控制被感染的機器。它通過IRC被控制,在4915連線埠連線到email.hottest.es伺服器。

利用這個後門,攻擊者可能執行以下操作:

命令

操作

reconnect 從IRC server 斷開後再連線。

join 加入另一個IRC channel。

part 離開特定的IRC channel。

remove 從系統刪除Duiskbot的服務和檔案。

sysinfo 返回信息,例如蠕蟲運行時使用的用戶名,和蠕蟲的web伺服器的IP位址和連線埠號。

format 掃描所有硬碟和網路驅動器,將帶有特定擴展名的檔案長度重新設定為0。

nickupd 生成一個新的nickname。

scan 開始掃描網路尋找存在漏洞的系統來分發病毒。

scanstop 停止掃描存在漏洞的系統。

pstore 從被保護的存儲區獲取信息。

pstorestop 終止執行緒,嘗試從被保護的存儲區獲取信息。

downlow 下載(並隨意運行)一個任意檔案,保存到特定的位置。

upd 下載並運行Duiskbot 的一個新版本,並刪除當前版本。

sniffer 捕獲TCP 通信量並嘗試記錄FTP 密碼和其它信息。

xplstats 記錄被攻擊系統的數量統計。

keylog 記錄用戶輸入的按鍵。

reverse 在被感染機器上打開一個command shell。

httpget 傳送一個HTTP get 請求到一個特定的位置。

httppost 傳送一個HTTP post 請求到一個特定的位置。

httpstop 停止執行一個HTTP拒絕服務攻擊。

httpdos 執行一個HTTP拒絕服務攻擊。

syn 執行一個SYN拒絕服務攻擊。

synstop 停止執行一個SYN拒絕服務攻擊。

kill 從IRC伺服器斷開並退出。

socks4 啟動一個SOCKS 4 代理。

imspread 嘗試通過即時訊息傳播。

imstop 停止嘗試通過即時訊息傳播。

email 嘗試傳送垃圾郵件到一個地址列表。

以下是一些命令的說明:

Format

這個命令會引起Duiskbot.AJ掃描硬碟和網路驅動器的以下擴展名的檔案:

ace

avi

dll

doc

exe

ini

iso

jpg

mdb

mp3

mpg

ocx

pdf

ppt

wmv

xls

zip

隨後將這些檔案的長度改為0。檔案仍然顯示在目錄列表或Windows資源管理器中,但是不能使用,可能導致系統檔案被損壞。

Keylog

這個命令會引起Duiskbot.AJ監控按鍵、滑鼠點擊和視窗之間的改變。如果用戶轉換到的視窗標題中包含"bank"字元,蠕蟲就會 記錄所有的登入視窗的按鍵,並將信息傳送到特定信道的IRC伺服器。

蠕蟲還可能監控以下特定的金融網站:

Wells Fargo

eBay

e-gold

iKobo

PayPal

StormPay

WorldPay

Western Union

有一個被迫刪除瀏覽器(例如Internet Explorer 或 Mozilla Firefox)存貯的cookies選項,為了確保用戶不得不重新登入不同的密碼保護的站點。

運行Web和FTP伺服器

Duiskbot.AJ在被感染機器上的任意一個連線埠運行一個Web伺服器和一個FTP伺服器。攻擊系統可能從這些伺服器下載蠕蟲的副本。

收集e-gold.com帳戶信息

蠕蟲可能監控活動的進程嘗試收集用戶的e-gold.com帳戶信息。

使服務失效

Duiskbot.AJ使以下服務失效:

自動更新("wuauserv" 服務);

Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)服務 ("SharedAccess" 服務);

Windows XP 系統的安全中心服務("wscsvc" - Windows XP service pack 2引入)。

它還生成以下鍵值,使病毒能夠通過Windows Firewall:

HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

\AuthorizedApplications\List\C:\WINDOWS\System32\dllcache

\ageofempires.exe = "C:\WINDOWS\System32\dllcache

\ageofempires.exe:*:Enabled:Age Of Empires III: The WarChiefs"

終止進程

Duiskbot通過關閉任意打開的視窗來終止特定的進程,目標進程的名稱中包含以下內容:

Ad-aware

anti

avg

avp

blackice

firewall

f-pro

hijack

kav

lockdown

mcafee

nod32

norton

proc

reged

spybot

spyware

troja

viru

vsmon

zonea

修改系統設定

蠕蟲修改以下註冊表,使Windows支持的DCOM (Distributed Component Object Model)失效:

HKLM\Software\Microsoft\OLE\EnableDCOM = "N"

它還修改以下註冊表,不接受遠程機器的帳戶列舉:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous = 0x1

蠕蟲還會修改以下註冊表鍵值:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LMCompatibilityLevel = 0x1

HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2 = 0x1

HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP3 = 0x1

清除

KILL安全胄甲Vet 30.3.3306版本可檢測/清除此病毒。

相關詞條

相關搜尋

熱門詞條

聯絡我們