转帖:警惕Poe机器人变种
Backdoor.Wn32.PoeBot.c病毒运行后,病毒衍生文件到系统目录下,添加注册表自动运行项以随机引导病毒体。该病毒利用MS04-011漏洞,通过IRC频道生成后门程序。受感染用户可能被受控进行端口扫描,ddos攻击等行为。用户系统文件完全暴露。
行为分析:
1、衍生下列副本与文件
%System32%\iexplore.exe
2、新建注册表键值HKEY_LOCAL_MACHNE\SOFTWARE\Mcrosoft\Wndows\CurrentVerson\Run\Mcrosoft nternet Explorer
键值: 字符串: "%WNDr%\system32\explore.exe"
3、开放下列端口连接指定服务器等待受控:
TCP 8998ServerP:208.53.131.46
TCP 9889ServerP: 208.53.131.46
4、试图从某服务器下载病毒体:
TPC->HTTP 80ServerP: 209.162.178.14
5、生成[随机名].bat删除初始病毒文件及自身:
@echo off
:deleteagan
del /A:H /F 1111.exe
del /F 1111.exe
f exst 1111.exe goto deleteagan
del ryjgoel.bat
6、病毒试图利用自身带的用户名和密码表,利用网络进行传播:
用户名表:
"admnstrator""admnstrador""admnstrateur""admnstrat""admns""admn""adm""computer""unx""lnux""system""server""root""web""www""nternet""home""homeuser""user""oemuser""wwwadmn""bob""jen""joe""fred""bll""mke""john""peter""luke""sam""sue""susan""peter""bran""lee""nel""an""chrs""guest""none""erc""george""kate""bob""kate""mary""techncal""backup""god""doman""database""access""data""sa""sql""oracle""bm""csco""dell""compaq""semens""control"offce""man""lan""nternet""ntranet""student""owner""teacher""staff"
共享列表:
"$""d$""e$""$\shared""d$\shared""e$\shared""c$\wnnt""c$\wndows""c$\wnnt\system32""c$\wndows\system32""Admn$\system32""admn$""C$\Documents and "prnt$""PC$"
密码列表:
"admnstrator""admnstrador""admnstrateur""admnstrat""admns""admn""adm""ab""abc""password1""password""passwd""dba""pass1234""pass""pwd""007""12""123""1234""12345""123456""1234567""12345678""123456789""1234567890""work""deadlne""payday""secret""2000""2001""2002""2003""2004""2005""test""guest""none""demo""computer""unx""lnux""changeme""default""system""server""root""null""temp""temp123""qwerty""mal""outlook""web""www""nternet""sex""letmen""accounts""accountng""home""homeuser""user""oem""oemuser""oemnstall""wwwadmn""wndows""wn98""wn2k""wnxp""wnnt""wn2000""qaz""asd""zxc""qwe""bob""jen""joe""fred""bll""mke""db2""db1234""sa""sql""sqlpassoanstall""oranstall""oracle""bm""csco""dell""compaq""semens""hp""noka""xp""control""offce""blank""wnpass""man""lan""nternet""ntranet""student""owner""teacher""staff""john""peter""luke""sam""sue""susan""peter""bran""lee""nel""an""chrs""erc""george""kate""bob""kate""mary""logn""lognpass""techncal""backup""exchange""f##k""btch""slut""sex""god""money""love""hell""hello""doman""domanpass""domanpassword""database""access""dbpass""dbpassword""databasepass""data""databasepassword""db1"
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Wndows2000/NT中默认的安装路径是C:\Wnnt\System32,wndows95/98/me中默认的安装路径是C:\Wndows\System,wndowsXP中默认的安装路径是C:\Wndows\System32。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
iexplore.exe
(2) 删除病毒释放文件
%System32%\iexplore.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHNE\SOFTWARE\Mcrosoft\Wndows\CurrentVerson\Run\Mcrosoft nternet Explorer 键值: 字符串: "%WNDr%\system32\explore.exe"
相关链接请参见:http://www.antiy.com/security/report/20070119htm
|
