转帖:警惕木马后门病毒ircbot.com
Backdoor.win32.ircbot.com木马病毒属后门类,危害等级很高,病毒运行后复制自身到%system32%\dllcache\下,并删除自身,修改注册表,创建服务,以达到随机启动的目的,关掉系统自动更新程序,使用用户不能自动更新系统补丁,连接网络,更新tcpip.sys文件,使用户配置与系统版本不附。该病毒利用IRC通信信道远程控制用户,尝试弱口令。
行为分析:
1、病毒运行后复制自身到%system32%\dllcache\下,并删除自身:
%system32%\dllcache\msiupdate32.exe
2、修改注册表,创建服务,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
新建键值: 字串: "EnableDCOM "="N"
原键值: 字串: "EnableDCOM "="Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft update Service\
键值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
键值: 字串:
"C:\WINDOWS\system32\dllcache\msiupdate32.exe " ="C:\WINDOWS\system32\dllcache\msiupdate32.exe:*:Enabled:Microsoft update Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft update Service\
键值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
键值: 字串:
"C:\WINDOWS\system32\dllcache\msiupdate32.exe "="C:\WINDOWS\system32\dllcache\msiupdate32.exe:*:Enabled:Microsoft update Service"
3、关掉系统自动更新程序,使用用户不能自动更新系统补丁
4、连接网络,更新tcpip.sys文件,使用户配置与系统版本不附。
IP:206.83.210.218
5、该病毒利用IRC通信信道远程控制用户:
6、尝试弱口令:
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%system32%\dllcache\msiupdate32.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
新建键值: 字串: "EnableDCOM "="N"
原键值:: 字串: "EnableDCOM "="Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft update Service\
键值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
键值: 字串:
"C:\WINDOWS\system32\dllcache\msiupdate32.exe" ="C:\WINDOWS\system32\dllcache\msiupdate32.exe:*:Enabled:Microsoft update Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft update Service\
键值: 字串: "ImagePath "="C:\WINDOWS\system32\dllcache\msiupdate32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
键值: 字串:
"C:\WINDOWS\system32\dllcache\msiupdate32.exe "="C:\WINDOWS\system32\dllcache\msiupdate32.exe:*:Enabled:Microsoft update Service"
相关参考链接:http://www.antiy.com/security/report/20061129.htm
| 欢迎光临 千家论坛_智能建筑与智能家居技术交流社区 (http://bbs.qianjia.com:8020/) | Powered by Discuz! X3.2 |