轉貼∼
Backdoor/Spyboter.bm
病毒長度:變長
病毒類型:後門
危害等級:*
影響平台:Win9X/2000/XP/NT/Me/2003
Backdoor/Spyboter.bm通過弱密碼進行傳播,允許攻擊者利用特定的IRC頻道訪問被感染的計算機。此外它還利用Mydoom變種的後門功能,拷貝自身到感染Mydoom的機器,然後進行複製。
傳播過程及特徵:
1.將自己註冊為一項服務,即便在用戶註銷的情況病毒也能運行。
2.創建互斥體"Moo" 保證蠕蟲運行。
3.在系統目錄下複製自身為:
%System%\Msnss.exe
%System%\Msgfix.exe
4.修改註冊表:
添加鍵值"Configuration Loader" = "msnss.exe"和"Configuration Loader" = "msgfix.exe"到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5.定位網絡中的用戶,企圖用預設的密碼登陸到共享源,如果成功則進行複製:
IPC$\msgfix.exe
D$\msgfix.exe
print$\msgfix.exe
c$\msgfix.exe
Admin$\msgfix.exe
c$\windows\system32\msgfix.exe
c$\winnt\system32\msgfix.exe
Admin$\system32\msgfix.exe
6.搜索已經感染Mydoom變種的計算機,一旦發現目標便拷貝自身為Msgfix.exe到感染的計算機上,並利用Mydoom的後門組件運行病毒。
7.允許攻擊者利用特定的IRC頻道訪問感染的計算機,一般有下列操作:
下載並執行文件
掃瞄網絡
操作進程
控制系統
執行DoS攻擊
重定位端口
盜取系統信息並mail給攻擊者
8.盜取遊戲CD keys:
Command & Conquer Generals
FIFA 2003
Need For Speed Hot Pursuit 2
Soldier of Fortune II - Double Helix
Neverwinter
Rainbow Six III RavenShield
Battlefield 1942 Road To Rome
Project IGI 2
Counter-Strike
Unreal Tournament 2003
Half-Life
「IRC波特變種F(Backdoor.IRCBot.f)」病毒:警惕程度★★★,後門程序,通過網絡傳播,依賴系統:WIN9X/NT/2000/XP。
運行後將自己複製到系統目錄下,文件名為「MSGFIX.EXE」。修改註冊表實現自啟動,枚舉本地IP地址,試圖利用IPC弱口令將自己複製到別的主機上,其文件名為「MSGFIX.EXE」。以特定的暱稱登錄指定的IRC頻道,使控制端可以對本機進行遠程控制。偷竊本地機器上一些正版軟件的序列號。
不管怎麼樣,先試試升級殺毒軟件,要是殺不了,就關掉進程,再,刪掉註冊中相關鍵值,再在電腦中搜索所有msgfix.exe並刪除做完後重啟動電腦支安全模式再殺毒看看.注意不要正常啟動.
|