Poe機器人變種

病毒描述

該病毒運行後,病毒衍生檔案到系統目錄下,添加註冊表自動運行項以隨機引導病毒體。該病毒利用MS04-011漏洞,通過IRC頻道生成後門程式。受感染用戶可能被受控進行連線埠掃描,ddos攻擊等行為。用戶系統檔案完全暴露。

病毒名稱

Backdoor.Wn32.PoeBot.c

中文名稱

Poe機器人變種

病毒類型

後門類

公開範圍

完全公開

危害等級


感染系統

Wn98以上系統

開發工具

McrosoftVsualC++6.0

加殼工具

UPolyXv0.5*
UPX0.89.6-1.02/1.05-1.24->Markus&Laszlo

病毒描述

該病毒運行後,病毒衍生檔案到系統目錄下,添加註冊表自動運行項以隨機引導病毒體。該病毒利用MS04-011漏洞,通過IRC頻道生成後門程式。受感染用戶可能被受控進行連線埠掃描,ddos攻擊等行為。用戶系統檔案完全暴露。

行為分析

1、衍生下列副本與檔案
%System32%\iexplore.exe
2、新建註冊表鍵值
HKEY_LOCAL_MACHNE\SOFTWARE\Mcrosoft\Wndows\CurrentVerson
\Run\McrosoftnternetExplorer
鍵值:字元串:"%WNDr%\system32\explore.exe"
3、開放下列連線埠連線指定伺服器等待受控:
TCP8998ServerP:208.53.131.46
TCP9889ServerP:208.53.131.46
4、試圖從某伺服器下載病毒體:
TPC->HTTP80ServerP:209.162.178.14
5、生成[隨機名].bat刪除初始病毒檔案及自身:
@echooff
:deleteagan
del/A:H/F1111.exe
del/F1111.exe
fexst1111.exegotodeleteagan
delryjgoel.bat
6、病毒試圖利用自身帶的用戶名和密碼錶,利用網路進行傳播:
用戶名表:
"admnstrator""admnstrador""admnstrateur""admnstrat"
"admns""admn""adm""computer""unx""lnux""system"
"server""root""web""www""nternet""home""homeuser"
"user""oemuser""wwwadmn""bob""jen""joe""fred""BLL"
"mke""john""peter""luke""sam""sue""susan""peter"
"bran""lee""NEL""an""chrs""guest""none""erc"
"george""kate""bob""kate""mary""techncal""backup"
"god""doman""database""access""data""sa""sql""oracle"
"bm""csco""dell""compaq""semens""control"offce""man"
"lan""nternet""ntranet""student""owner""teacher""staff"
共享列表:
"$""d$""e$""$\shared""d$\shared""e$\shared""c$\wnnt""c$\wndows"
"c$\wnnt\system32""c$\wndows\system32""Admn$\system32""admn$""C$
\Documentsand"prnt$""PC$"
密碼列表:
"admnstrator""admnstrador""admnstrateur""admnstrat"
"admns""admn""adm""ab""abc""password1""password"
"passwd""dba""pass1234""pass""pwd""007""12""123"
"1234""12345""123456""1234567""12345678""123456789"
"1234567890""work""deadlne""payday""secret""2000"
"2001""2002""2003""2004""2005""test""guest""none"
"demo""computer""unx""lnux""changeme""default"
"system""server""root""null""temp""temp123"
"qwerty""mal""outlook""web""www""nternet""sex"
"letmen""accounts""accountng""home""homeuser"
"user""oem""oemuser""oemnstall""wwwadmn""wndows"
"wn98""wn2k""wnxp""wnnt""wn2000""qaz""asd""zxc"
"qwe""bob""jen""joe""fred""bll""mke""db2""db1234"
"sa""sql""sqlpassoanstall""oranstall""oracle""bm"
"csco""dell""compaq""semens""hp""noka""xp""control"
"offce""blank""wnpass""man""lan""nternet""ntranet"
"student""owner""teacher""staff""john""peter""luke"
"sam""sue""susan""peter""bran""lee""nel""an""chrs"
"erc""george""kate""bob""kate""mary""logn""lognpass"
"techncal""backup""exchange""fuck""btch""slut""sex"
"god""money""love""hell""hello""doman""domanpass"
"domanpassword""database""access""dbpass""dbpassword"
"databasepass""data""databasepassword""db1"
註:%System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Wndows2000/NT中默認的安裝路徑是C:\Wnnt\System32,wndows95/98/me中默認的安裝路徑是C:\Wndows\System,wndowsXP中默認的安裝路徑是C:\Wndows\System32。

提醒清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)

2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用安天木馬防線“進程管理”關閉病毒進程
iexplore.exe
(2)刪除病毒釋放檔案
%System32%\iexplore.exe
(3)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHNE\SOFTWARE\Mcrosoft\Wndows\CurrentVerson\Run
\McrosoftnternetExplorer
鍵值:字元串:"%WNDr%\system32\explore.exe"

相關詞條

相關搜尋

熱門詞條

聯絡我們