概述
Backdoor/Phatbot.e
Backdoor/Phatbot.e通過RPC DCOM漏洞,RPC Locator和IRC聊天軟體進行傳播,並會啟動大量執行緒,對遠程伺服器發動多種DoS攻擊,耗盡CPU資源。還會嘗試破解區域網路內其他計算機的密碼,一旦破解成功,就自動感染。同時,該病毒還蒐集用戶機器上的遊戲CDKey、Email地址和註冊表信息,通過IRC向外傳送。
特點
具體技術特徵如下:
1.將自身複製到%SystemDir%\nvchip4.exe,並在註冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService中添加:
“nVidia Chip4”= “nvchip4.exe”
如果病毒發現自己不在%SystemDir%目錄中,在運行後自動刪除自己。
2.自動結束將近600種防毒軟體和調試工具的進程,基本包括了所有國外殺軟和常用工具。
3.搜尋本地區域網路的機器,通過RPC DCOM漏洞(135號連線埠)和RPC Locator(445號連線埠)進行傳播,有可能造成“RPC錯誤,1分鐘倒計時重啟”現象。
4.自帶IRC機器人模組,可以自動登入IRC聊天伺服器,與其他Backdoor/Phatbot機器人通過IRC進行通信。並可以利用其內嵌的FTP模組進行自我升級和其他檔案傳輸。
5.將本地磁碟C:, D:, E:設定為共享,並用自帶的密碼字典(約包含100種常用密碼)對區域網路內的其他計算機進行暴力破解,一旦成功則感染該計算機。
6.會根據IRC上的得到指令,開啟大量監聽和發包執行緒,向遠程計算機發動SYN, UDP, ICMP, HTTP等多種DoS攻擊,使CPU資源耗盡。
7.竊取數十種遊戲的CDKey,並通過IRC傳送出去。
8.收集用戶機器上的email地址,並通過IRC傳送出去。
9.可以根據後門指令收集用戶的註冊表信息,通過IRC傳送出去。
