描述
TrojanProxy.Bobax.c
病毒長度:22,528 位元組
病毒類型:代理木馬
危害等級:**
影響平台:Win2000/XP
TrojanProxy.Bobax.c在連線埠445和135利用LSASS漏洞和DCOM RPC漏洞進行傳播,感染的計算機轉發郵件傳播,並允許攻擊者未經授權隨意訪問,可能會導致機器重啟。
傳播過程及特徵:
1.複製自身為:
%System%\<任意字元>.exe
2.修改註冊表:
添加鍵值:"<任意字元>" = "%System%\<任意字元>.exe"
到註冊表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
3.試圖刪除臨時資料夾%temp%下檔案名稱以“ ~ ”開頭的所有檔案。
在臨時資料夾%temp%下生成.tmp檔案,此檔案實質上是包含木馬的.dll檔案。
4.將.dll檔案嵌入Explorer.exe並結束<任意字元>.exe
5.從不同的站點下載檔案用來測試網路連線速度,此外它會選擇有唯一ID的遠程web伺服器進行連線感染,成功後傳送系統信息進行通告,然後病毒會發出激活指令回響,導致有如下操作:
傳送垃圾郵件
傳送系統信息給作者
停止/重啟掃描程式
下載/運行特定可執行程式
進行自我更新
6.對隨機產生的IP位址進行掃描,試圖連線TCP連線埠5000。並測定目標系統是否存在LSASS漏洞和DCOM RPC漏洞:
/Windows XP:
a.在TCP連線埠445傳送shell命令,試圖發現LSASS漏洞,如果沒有則在TCP連線埠135測定是否有DCOM RPC漏洞。
b.一旦發現可利用的漏洞,便強制性的通過HTTP在任意連線埠與遠程計算機取得連線並下載病毒程式,同時保存為Svc.exe或具有.gif擴展名的執行檔。
c.最終在遠程計算機上運行病毒程式。
/Windows 2000:
首先測定是否存在DCOM RPC漏洞,如果成功發現則進行感染並運行病毒。
7.lsass.exe進程在被攻擊過程中可能會被破壞,可能會導致系統重啟,並出現一個標題為LSA Shell(Export Version)的是否傳送錯誤報告的選擇對話框。
8.打開任意選定的連線埠,在此等待引入的連線,並運行自帶的SMTP伺服器,在感染的計算機上進行垃圾郵件的轉發操作。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%program files%一般為C:\program files;
%Temp%一般為C:\Windows\Temp 或 C:\Documents and
Settings\<當前用戶>\Local Settings\Temp;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
