概述
Backdoor/IRCBot.Cmst32.b
病毒長度:115,744 bytes
病毒類型:後門
影響平台:Win9X/2000/XP/NT/Me
Backdoor/IRCBot.Cmst32.b通過網路共享進行傳播,利用弱密碼和DCOM RPC漏洞在遠程計算機上創建用戶帳號。此外它作為後門連線一個IRC頻道,允許黑客控制感染病毒的計算機。
特點
傳播過程及特徵如下:
1.在系統目錄下拷貝自身,檔案名稱為:Spoolserv.exe ,Cmst32.exe ,Pctime32.bat,Runtime.bat,Smshost.exe,Svhost32.exe;此外還在Temp資料夾下拷貝自身為d.bat檔案。
2.修改註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加"Microsoft DirectX"="Spoolserv.exe"鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices下添加"Microsoft DirectX"="Spoolserv.exe"鍵值
設定HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa下鍵值"restrictanonymous" = "1"
設定HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole下鍵值"EnableDCOM" = "N"
3.用Runtime.Bat和Pctime32.bat檔案通過弱用戶/密碼和DCOM RPC漏洞,複製蠕蟲為Cmst32.exe
4.發布一些共享和拒絕服務的命令,並試圖刪除navapsvc.exe和AUPDATE.EXE檔案
5.加入一個IRC頻道,等待黑客發出命令,如下:
搜尋感染計算機的host信息
上傳下載檔案
執行檔案
對其它計算機進行拒絕服務(DoS)攻擊
