收藏本站 收藏本站
积木网首页 - 软件测试 - 常用手册 - 站长工具 - 技术社区
积木学院 > 安全防范 > 木马病毒 > 正文

病毒分析:W32.Spybot.FBG蠕虫

来源:互联摘选 日期:2008-12-19 02:52
该蠕虫病毒可以通过IRC通道进行远程控制,它包含有分布式拒绝服务(DDoS)以前后门功能,该病毒也尝试从受感染计算机上盗取机密信息。

  其他命名:Backdoor.IRC.Bot(Norton杀毒软件检测病毒名称),WORM_SDBOT.WC(Trend Micro)
  病毒类型:蠕虫
  病毒长度:45,152 字节
  受影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
  风险指数:低
  破坏指数:中
  感染能力:中

  该病毒执行时:

  1,创建"-rb0t-serv3r"的互斥实例以确保该病毒可以唯一的运行于每个对话
  2,将自身拷贝为:%System%\fwr.exe
  3,在如下注册表项:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  添加如下键值:

  "Fwr Command Module" = "fwr.exe"

  用以确保当Windows启动时病毒程序自动运行

  4,删除如下的本地网络共享:

  ·$ipc
  ·$admin
  ·$c
  ·$d

  5,尝试打开一个后门连接到一个位于loser.ezirc.net的IRC频道,该蠕虫将接听攻击者执行如下动作的命令:

  ·下载并执行文件
  ·发起拒绝服务攻击(DoS)
  ·盗取机密信息并发送给攻击者
  ·执行端口改向
  ·启动socks4代理
  ·使用自身的SMTP引擎发送e-mail

  6,尝试盗取如下游戏的密码和CD-key(病毒作者是个游戏迷???):

  Command & Conquer Generals 《命令与征服》
  FIFA 2003《FIFA2003》
  Need For Speed Hot Pursuit 2《极品飞车2--热力追踪》
  Call of Duty(8知道中文名字……)
  Soldier of Fortune II - Double Helix《命运战士--双重螺旋》
  Neverwinter Nights《无冬之夜》
  Rainbow Six III RavenShield 《彩虹六号》
  Battlefield 1942 Road To Rome 《战地1942》
  Battlefield 1942
  Project IGI 2《秘密潜入》
  Counter-Strike《反恐精英》
  Unreal Tournament 2003《虚拟竞技场2003》
  Half-Life《半条命》

  7,尝试将自身拷贝到一个基于随机产生的IP地址列表中的远程计算机。它将自身拷贝为如下之一:

  IPC$\fwr.exe
  D$\fwr.exe
  print$\fwr.exe
  c$\fwr.exe
  Admin$\fwr.exe
  c$\windows\system32\fwr.exe
  c$\winnt\system32\fwr.exe
  Admin$\system32\fwr.exe

  该病毒将使用如下密码:

!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
000
0000
00000
000000
00000000
007
0wn3d
0wned
110

(出处:www.Gimoo.net)

推荐阅读

 

热点信息

 
强悍的草根IT技术社区,这里应该有您想要的!
Copyright © 2010 Gimoo.Net. All Rights Rreserved  京ICP备05050695号