基本信息
病毒名稱:Backdoor.Wn32.PoeBot.c中文名稱:Poe機器人變種
病毒類型:後門類
檔案 MD5:DFC1C63A5DE1FB54A95768774DEB4809
公開範圍:完全公開
危害等級:高
檔案長度:46,592 位元組
感染系統:Wn98以上系統
開發工具:Microsoft Vsual C++6.0
加殼工具:UPolyX v0.5 *
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
命名對照: 驅逐艦[Wn32.HLLW.Shepher]
瑞星[Bacdoor.PoeBot.cb]
行為分析
1、衍生下列副本與檔案%System32%\iexplore.exe
2、新建註冊表鍵值
HKEY_LOCAL_MACHNE\SOFTWARE\Microsoft\Wndows\CurrentVerson
\Run\Mcrosoft nternet Explorer
鍵值: 字元串: "%WNDr%\system32\explore.exe"
3、開放下列連線埠連線指定伺服器等待受控:
TCP8998ServerP:208.53.131.46
TCP 9889ServerP: 208.53.131.46
4、試圖從某伺服器下載病毒體:
TPC->HTTP 80ServerP: 209.162.178.14
5、生成[隨機名].bat刪除初始病毒檔案及自身:
@echo off
:deleteagan
del /A:H /F 1111.exe
del /F 1111.exe
f exst 1111.exe goto deleteagan
del ryjgoel.bat
6、病毒試圖利用自身帶的用戶名和密碼錶,利用網路進行傳播:
用戶名表:
"admnstrator""admnstrador""admnstrateur""admnstrat"
"admns""admn""adm""computer""unx""lnux""system"
"server""root""web""www""nternet""home""homeuser"
"user""oemuser""wwwadmn""bob""jen""joe""fred""BLL"
"mke""john""peter""luke""sam""sue""susan""peter"
"bran""lee""nel""an""chrs""guest""none""erc"
"george""kate""bob""kate""mary""techncal""backup"
"god""doman""database""access""data""sa""sql""oracle"
"bm""csco""dell""compaq""semens""control"offce""man"
"lan""nternet""ntranet""student""owner""teacher""staff"
共享列表:
"$""d$""e$""$\shared""d$\shared""e$\shared""c$\wnnt""c$\wndows"
"c$\wnnt\system32""c$\wndows\system32""Admn$\system32""admn$""C$
\Documents and "prnt$""PC$"
密碼列表
"admnstrator""admnstrador""admnstrateur""admnstrat""admns""admn""adm""ab""abc""password1""password"
"passwd""dba""pass1234""pass""pwd""007""12""123"
"1234""12345""123456""1234567""12345678""123456789"
"1234567890""work""deadlne""payday""secret""2000"
"2001""2002""2003""2004""2005""test""guest""none"
"demo""computer""unx""lnux""changeme""default"
"system""server""root""null""temp""temp123"
"qwerty""mal""outlook""web""www""nternet""sex"
"letmen""accounts""accountng""home""homeuser"
"user""oem""oemuser""oemnstall""wwwadmn""wndows"
"wn98""wn2k""wnxp""wnnt""wn2000""qaz""asd""zxc"
"qwe""bob""jen""joe""fred""bll""mke""db2""db1234"
"sa""sql""sqlpassoanstall""oranstall""oracle""bm"
"csco""dell""compaq""semens""hp""noka""xp""control"
"offce""blank""wnpass""man""lan""nternet""ntranet"
"student""owner""teacher""staff""john""peter""luke"
"sam""sue""susan""peter""bran""lee""nel""an""chrs"
"erc""george""kate""bob""kate""mary""logn""lognpass"
"techncal""backup""exchange""fuck""btch""slut""sex"
"god""money""love""hell""hello""doman""domanpass"
"domanpassword""database""access""dbpass""dbpassword"
"databasepass""data""databasepassword""db1"
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Wndows2000/NT中默認的安裝路徑是C:\Wnnt\System32,wndows95/98/me中默認的安裝路徑是C:\Wndows\System,wndowsXP中默認的安裝路徑是C:\Wndows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
iexplore.exe
(2) 刪除病毒釋放檔案
%System32%\iexplore.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHNE\SOFTWARE\Microsoft\Wndows\CurrentVerson\Run
\Mcrosoft nternet Explorer
鍵值: 字元串: "%WNDr%\system32\explore.exe"
病毒簡介 病毒名稱:Backdoor.Wn32.PoeBot.c
中文名稱:Poe機器人變種
病毒類型:後門類
件文 MD5:DFC1C63A5DE1FB54A95768774DEB4809
公開範圍:完全公開
危害等級:高
檔案長度:46,592 位元組
感染系統:Wn98以上系統
開發工具:Mcrosoft Vsual C++6.0
加殼工具:UPolyX v0.5 *
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
命名對照: 驅逐艦[Wn32.HLLW.Shepher]
瑞星[Bacdoor.PoeBot.cb]
病毒描述
該病毒運行後,病毒衍生檔案到系統目錄下,添加註冊表自動運行項以隨機引導病毒體。該病毒利用MS04-011漏洞,通過IRC頻道生成後門程式。受感染用戶可能被受控進行連線埠掃描,ddos攻擊等行為。用戶系統檔案完全暴露。行為分析:
1、衍生下列副本與檔案
%System32%\iexplore.exe
2、新建註冊表鍵值
HKEY_LOCAL_MACHNE\SOFTWARE\Mcrosoft\Wndows\CurrentVerson
\Run\Mcrosoft nternet Explorer
鍵值: 字元串: "%WNDr%\system32\explore.exe"
3、開放下列連線埠連線指定伺服器等待受控:
TCP8998ServerP:208.53.131.46
TCP 9889ServerP: 208.53.131.46
4、試圖從某伺服器下載病毒體:
TPC->HTTP 80ServerP: 209.162.178.14
5、生成[隨機名].bat刪除初始病毒檔案及自身:
@echo off
:deleteagan
del /A:H /F 1111.exe
del /F 1111.exe
f exst 1111.exe goto deleteagan
del ryjgoel.bat
6、病毒試圖利用自身帶的用戶名和密碼錶,利用網路進行傳播:
用戶名表:
"admnstrator""admnstrador""admnstrateur""admnstrat"
"admns""admn""adm""computer""unx""lnux""system"
"server""root""web""www""nternet""home""homeuser"
"user""oemuser""wwwadmn""bob""jen""joe""fred""bll"
"mke""john""peter""luke""sam""sue""susan""peter"
"bran""lee""nel""an""chrs""guest""none""erc"
"george""kate""bob""kate""mary""techncal""backup"
"god""doman""database""access""data""sa""sql""oracle"
"bm""csco""dell""compaq""semens""control"offce""man"
"lan""nternet""ntranet""student""owner""teacher""staff"
共享列表:
"$""d$""e$""$\shared""d$\shared""e$\shared""c$\wnnt""c$\wndows"
"c$\wnnt\system32""c$\wndows\system32""Admn$\system32""admn$""C$
\Documents and "prnt$""PC$"
密碼列表:
"admnstrator""admnstrador""admnstrateur""admnstrat"
"admns""admn""adm""ab""abc""password1""password"
"passwd""dba""pass1234""pass""pwd""007""12""123"
"1234""12345""123456""1234567""12345678""123456789"
"1234567890""work""deadlne""payday""secret""2000"
"2001""2002""2003""2004""2005""test""guest""none"
"demo""computer""unx""lnux""changeme""default"
"system""server""root""null""temp""temp123"
"qwerty""mal""outlook""web""www""nternet""sex"
"letmen""accounts""accountng""home""homeuser"
"user""oem""oemuser""oemnstall""wwwadmn""wndows"
"wn98""wn2k""wnxp""wnnt""wn2000""qaz""asd""zxc"
"qwe""bob""jen""joe""fred""bll""mke""db2""db1234"
"sa""sql""sqlpassoanstall""oranstall""oracle""bm"
"csco""dell""compaq""semens""hp""noka""xp""control"
"offce""blank""wnpass""man""lan""nternet""ntranet"
"student""owner""teacher""staff""john""peter""luke"
"sam""sue""susan""peter""bran""lee""nel""an""chrs"
"erc""george""kate""bob""kate""mary""logn""lognpass"
"techncal""backup""exchange""fuck""btch""slut""sex"
"god""money""love""hell""hello""doman""domanpass"
"domanpassword""database""access""dbpass""dbpassword"
"databasepass""data""databasepassword""db1"
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Wndows2000/NT中默認的安裝路徑是C:\Wnnt\System32,wndows95/98/me中默認的安裝路徑是C:\Wndows\System,wndowsXP中默認的安裝路徑是C:\Wndows\System32。