史萊姆論壇 - 查看單個文章

NoMo · 2004-05-11, 04:12 AM

轉貼∼

Backdoor/Spyboter.bm
病毒長度：變長
病毒類型：後門
危害等級：*
影響平台：Win9X/2000/XP/NT/Me/2003
Backdoor/Spyboter.bm通過弱密碼進行傳播，允許攻擊者利用特定的IRC頻道訪問被感染的計算機。此外它還利用Mydoom變種的後門功能，拷貝自身到感染Mydoom的機器，然後進行複製。
傳播過程及特徵：
1.將自己註冊為一項服務，即便在用戶註銷的情況病毒也能運行。
2.創建互斥體"Moo" 保證蠕蟲運行。
3.在系統目錄下複製自身為：
%System%\Msnss.exe
%System%\Msgfix.exe
4.修改註冊表：
添加鍵值"Configuration Loader" = "msnss.exe"和"Configuration Loader" = "msgfix.exe"到：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5.定位網絡中的用戶，企圖用預設的密碼登陸到共享源，如果成功則進行複製：
IPC$\msgfix.exe
D$\msgfix.exe
print$\msgfix.exe
c$\msgfix.exe
Admin$\msgfix.exe
c$\windows\system32\msgfix.exe
c$\winnt\system32\msgfix.exe
Admin$\system32\msgfix.exe
6.搜索已經感染Mydoom變種的計算機，一旦發現目標便拷貝自身為Msgfix.exe到感染的計算機上，並利用Mydoom的後門組件運行病毒。
7.允許攻擊者利用特定的IRC頻道訪問感染的計算機，一般有下列操作：
下載並執行文件
掃瞄網絡
操作進程
控制系統
執行DoS攻擊
重定位端口
盜取系統信息並mail給攻擊者
8.盜取遊戲CD keys:
Command & Conquer Generals
FIFA 2003
Need For Speed Hot Pursuit 2
Soldier of Fortune II - Double Helix
Neverwinter
Rainbow Six III RavenShield
Battlefield 1942 Road To Rome
Project IGI 2
Counter-Strike
Unreal Tournament 2003
Half-Life

「IRC波特變種F（Backdoor.IRCBot.f）」病毒：警惕程度★★★，後門程序，通過網絡傳播，依賴系統：WIN9X/NT/2000/XP。

　　運行後將自己複製到系統目錄下，文件名為「MSGFIX.EXE」。修改註冊表實現自啟動，枚舉本地IP地址，試圖利用IPC弱口令將自己複製到別的主機上，其文件名為「MSGFIX.EXE」。以特定的暱稱登錄指定的IRC頻道，使控制端可以對本機進行遠程控制。偷竊本地機器上一些正版軟件的序列號。

不管怎麼樣,先試試升級殺毒軟件,要是殺不了,就關掉進程,再,刪掉註冊中相關鍵值,再在電腦中搜索所有msgfix.exe並刪除做完後重啟動電腦支安全模式再殺毒看看.注意不要正常啟動.

2004-05-11, 04:12 AM	#3 (permalink)
NoMo 註冊會員榮譽勳章勳章總數1 UID - 5780 在線等級: 註冊日期: 2002-12-08 VIP期限: 2006-06 住址: 高雄<->屏東文章: 1564 精華: 0 現金: 1800 金幣資產: 1800 金幣	轉貼∼ Backdoor/Spyboter.bm 病毒長度：變長病毒類型：後門危害等級：* 影響平台：Win9X/2000/XP/NT/Me/2003 Backdoor/Spyboter.bm通過弱密碼進行傳播，允許攻擊者利用特定的IRC頻道訪問被感染的計算機。此外它還利用Mydoom變種的後門功能，拷貝自身到感染Mydoom的機器，然後進行複製。傳播過程及特徵： 1.將自己註冊為一項服務，即便在用戶註銷的情況病毒也能運行。 2.創建互斥體"Moo" 保證蠕蟲運行。 3.在系統目錄下複製自身為： %System%\Msnss.exe %System%\Msgfix.exe 4.修改註冊表：添加鍵值"Configuration Loader" = "msnss.exe"和"Configuration Loader" = "msgfix.exe"到： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 5.定位網絡中的用戶，企圖用預設的密碼登陸到共享源，如果成功則進行複製： IPC$\msgfix.exe D$\msgfix.exe print$\msgfix.exe c$\msgfix.exe Admin$\msgfix.exe c$\windows\system32\msgfix.exe c$\winnt\system32\msgfix.exe Admin$\system32\msgfix.exe 6.搜索已經感染Mydoom變種的計算機，一旦發現目標便拷貝自身為Msgfix.exe到感染的計算機上，並利用Mydoom的後門組件運行病毒。 7.允許攻擊者利用特定的IRC頻道訪問感染的計算機，一般有下列操作：下載並執行文件掃瞄網絡操作進程控制系統執行DoS攻擊重定位端口盜取系統信息並mail給攻擊者 8.盜取遊戲CD keys: Command & Conquer Generals FIFA 2003 Need For Speed Hot Pursuit 2 Soldier of Fortune II - Double Helix Neverwinter Rainbow Six III RavenShield Battlefield 1942 Road To Rome Project IGI 2 Counter-Strike Unreal Tournament 2003 Half-Life 「IRC波特變種F（Backdoor.IRCBot.f）」病毒：警惕程度★★★，後門程序，通過網絡傳播，依賴系統：WIN9X/NT/2000/XP。　　運行後將自己複製到系統目錄下，文件名為「MSGFIX.EXE」。修改註冊表實現自啟動，枚舉本地IP地址，試圖利用IPC弱口令將自己複製到別的主機上，其文件名為「MSGFIX.EXE」。以特定的暱稱登錄指定的IRC頻道，使控制端可以對本機進行遠程控制。偷竊本地機器上一些正版軟件的序列號。不管怎麼樣,先試試升級殺毒軟件,要是殺不了,就關掉進程,再,刪掉註冊中相關鍵值,再在電腦中搜索所有msgfix.exe並刪除做完後重啟動電腦支安全模式再殺毒看看.注意不要正常啟動.

	送花文章: 0, 收花文章: 2 篇, 收花: 2 次