名稱
Backdoor/Norbot.ce病毒長度:大約 310K
病毒類型:後門
危害等級:**
內容
影響平台:Win9X/2000/XP/NT/Me/2003Backdoor/Norbot.ce經PE Diminisher壓縮,通過弱密碼和微軟漏洞進行傳播,還通過"雛鷹"和"Mydoom"開的後門複製自身進行傳播。它允許攻擊者通過特定的IRC頻道訪問感染的計算機。
利用的微軟漏洞包括:
MS03-026:DCOM RPC漏洞
MS03-007:WebDav漏洞
MS03-049:Workstation service緩衝區溢出漏洞
MS03-001:Locator service漏洞
MS03-043:Messenger Service緩衝區溢出漏洞
MS01-059:UPnP漏洞
MS02-061:Microsoft SQL Server 2000和MSDE 2000審計漏洞
傳播過程及特徵:
1.複製自身為:
%System%\winhlpp32.exe.
%System%\agp32.exe
%System%\explored.exe
%System%\netsvcs.exe
%System%\ascdl.exe
%System%\regsvc32.exe
2.修改註冊表:
/添加鍵值:
"Symantec Security Routine Addon" = "%System%\winhlpp32.exe"
"agp" = "agp32.exe"
"Windows Login" = "explored.exe"
"Video Process" = "netsvcs.exe"
"Microsoft Update" = "ascdl.exe""Generic Services Process" = "regsvc32.exe"
到註冊表啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/刪除註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的鍵值:
"Ssate.exe"
"rate.exe"
"d3dupdate.exe"
"TaskMon""Explorer"
3.終止反病毒和防火牆軟體進程以及下列進程:
irun4.exe
i11r54n4.exe
winsys.exe
bbeagle.exe
taskmon.exe
4.刪除檔案:
%System%\irun4.exe
%System%\i11r54n4.exe
%System%\winsys.exe
%System%\bbeagle.exe
%System%\taskmon.exe刪除服務:pnphost
5.修改 %System%\drivers\etc\hosts檔案,導致用戶不能訪問一些反病毒網站。
6.在隨機選擇的TCP連線埠運行FTP伺服器。
7.連線到一個IRC伺服器,用自己的IRC客戶端,做如下操作:
/通過FTP和HTTP下載上傳檔案
/執行命令
/列出並終止進程
/列出並終止服務
/重起計算機
/發起HTTP flood、ICMP flood、SYN flood、UDP flood攻擊
/查找存儲在計算機上的郵件地址
/通過HTTP查找郵件地址表
/搜尋假設的URL
/吸收HTTP、FTP和IRC流量
/通過向一些站點傳送HTTP GET請求來測量被感染計算機的連線速度
/刪除一些病毒添加的檔案以及註冊表鍵值,並結束它們的相關進程
/盜取Windows的生產ID號和一些視頻遊戲的CD keys
8.探測下列共享並試圖取得共享許可權,以達到複製自身到已分享資料夾下進行傳播:
c$
d$
e$
print$admin$
取得共享許可權使用的用戶名一部分是通過NetUserEnum()函式得到的。
