-
Backdoor/IRC.RpcBot
本詞條缺少名片圖,補充相關內容使詞條更完整,還能快速升級,趕緊來編輯吧!
Backdoor/IRC.RpcBot是一些批處理文件、腳本文件和執行文件的集合,也是一種黑客工具,這些文件的名稱是可以變化的。
- 中文名
- Backdoor/IRC.RpcBot 類????別
- 病毒
- 威脅級別
- 一星 類????型
- 木馬
目錄
- 1 基本信息
- 2 行為分析
基本信息
Backdoor/IRC.RpcBot
病毒長度:變長
病毒類型:木馬
危害等級:*
影響平臺:Win9X/2000/XP/NT/Me
Backdoor/IRC.RpcBot通過 DCOM RPC 漏洞傳播自身,木馬作者可以完全控計算機。
行為分析
1.創建文件夾C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS,并在其下復制為Bot.rar。
2.將WinOLE.exe(mIRC客戶端程序補丁)作為一項服務運行,并通過注冊表HKEY_LOCAL_MACHIN\Software\Classes掛鉤于IRC擴展名的文件,達到一開始運行聊天工具便調用WinOLE.exe文件的目的。
3.運行下列文件:
Dhcpp.exe --- TFTP服務
Nctl.exe --- FTP服務
Eeents.exe --- IRC代理服務
4.修改注冊表:
/設注冊表:HKEY_LOCAL_MACHINE\SOFTWARE\TFTPD32
下的鍵值為:
"BaseDirectory"="C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS"
"TftpPort"="00000045"
"Hide"="00000001"
"WinSize"="00000000"
"Negociate"="00000000"
"DirText"="00000000"
"ShowProgressBar"="00000000"
"Timeout"="00000003"
"MaxRetransmit"="00000006"
"SecurityLevel"="00000000"
"UnixStrings"="00000000"
"LocalIP"=""
"Beep"="00000000"
"VirtualRoot"="00000000"
"Services"="00000003"
"TftpLogFile"=""
"SaveSyslogFile"=""
/設注冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
下的鍵值為:"DisableWebDAV"="00000001"
/設注冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
下的鍵值為:
"EnableDCOM"="N"
"EnableRemoteConnect"="N"
4.連接特定的IRC服務器并加入一個頻道,在此監聽木馬作者發出的指令。利用DCOM RPC漏洞,通過連接隨機產生的IP地址找到目標計算機進行監聽其TCP 端口135,一旦成功它便開始向目標計算機傳輸數據,并創建文件夾C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS ,然后在此目錄下利用TFTP引入木馬組件bot.rar,unrar.bat和unrar.exe,并運行木馬自身。
)
)
