| 病毒资料:W32/Spybot.MLR-net |
| 基本信息 |
| 病毒名称: | W32/Spybot.MLR-net | 类型: | 蠕虫 | 长度: | 299520 | 威胁级别: | 2 | 捕获日期: | 2006-01-18 |
| 其它别名: | Backdoor.Win32.Wootbot.gen,W32/Sdbot.worm.gen virus,W32/Gaobot.GBN.worm | 影响系统: | Windows 9X,Windows 2K,Windows XP |
| 表现特征 |
1、系统目录 %SYSTEM% 下存在文件 iexplore.exe;
2、系统进程列表中存在一个 iexplore.exe 进程;
3、如果安装有防火墙,则会提示该进程试图访问外部网络;
4、系统响应变慢; |
| 行为分析 |
1、这是一个 PE 病毒,病毒文件采用 UPX 加壳,加壳后大小为 299,520 字节;
2、病毒运行后,会将自身拷贝到 %SYSTEM%\iexplore.exe;
3、将自身注册为服务:
DisplayName:Alerter Service
ImagePath:"%SYSTEM%\iexplore.exe" -netsvcs
这样系统每次启动时病毒都能执行;
4、中止下列服务:
Themes
srservice
wuauserv
WZCSVC
winmgmt
WebClient
W32Time
upnphost
uploadmgr
TrkWks
TermService
TapiSrv
stisvc
SSDPSRV
Spooler
ShellHWDetection
SENS
seclogon
Schedule
SamSs
RpcSs
RasMan
......
注:由于列表过长,故省略部分;
5、修改注册表键值:
HKLM\SOFTWARE\Microsoft\Ole
"EnableDCOM" = "N" (默认为 "Y")
6、在本地的UDP/69端口上建立一个tftp服务器,用来向其它受侵害的系统上传送病毒文件;
7、病毒按照一定算法随机生成IP地址,利用 MS03-026、MS03-049、MS04-011漏洞进行传播;
8、扫描存在弱口令的网络共享、MySql和MsSql服务器进行传播,并试图获得管理员权限,控制
受害者计算机,病毒扫描时使用如下口令:
12345
nopass
password
sql
database
secret
security
public
default
1234qwer
visitor
guest
nobody
private
secure
......
注:由于列表过长,故省略部分;
9、在本地打开两个大于 1024 的随机的 TCP 端口作为后门,并把端口信息和从被感染机子上
收集到的敏感信息发送到下列地址之一:
66.7.174.107:978
66.7.174.107:979
216.221.188.182:978
216.221.188.182:979
其中一个用作 HTTP 和 SOCKS 代理服务器;
另一个用于接收并执行远程攻击者的命令,这样远程攻击者可以通过这个后门下载运行程序,
结束进程,删除文件,收集受害者计算机上的信息,从而控制受害者计算机; |
| 清除方法 |
1、使用任务管理器关闭病毒进程,并删除病毒文件;
2、删除注册表子键:
HKLM\SYSTEM\CurrentControlSet\Services\alerters
3、恢复病毒修改的键值;
4、由于该病毒有可能下载其他程序运行,建议使用杀毒软件彻底扫描整个系统。 |
| 防范措施 |
1、如果系统没有升级补丁程序,请按照以下连接说明升级系统:
http://www.microsoft.com/technet/security/Bulletin/MS03-026.mspx
http://www.microsoft.com/technet/security/Bulletin/MS03-049.mspx
http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx
2、给自己的主机、MySql及MsSql服务器设置比较强的口令并更改其默认的用户名;
3、经常更新FortiGate防火墙的病毒特征库,必要时允许服务器推送式升级。 |
