Backdoor.Win32.IRCBot.aaq后门分析

文章作者 100test 发表时间 2008:01:11 12:39:07
来源 100Test.Com百考试题网


病毒名称: Backdoor.Win32.IRCBot.aaq

  病毒类型: 后门

  文件MD5: 383FA8F31BC56113DBB9F5B7527A6D0D

  文件长度: 18,944 字节

  感染系统: windows98以上版本

  开发工具: Microsoft Visual C 6.0

  加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24

  病毒描述:

  该病毒为后门类,病毒运行后衍生病毒文件到系统目录下,关闭当前任务管理器中一切可以关切的进程,把衍生的DLL文件插入到系统正常进程Explorer.exe中,并通过rdshost.dll连接指定的IRC信道,并接受控制者远程控制。修改注册表,添加启动项,以达到随机启动的目的。该病毒通过MSN传播,会检查用户是否开启MSN,如果开启则自动向用户MSN中的好友自动发送消息,并把病毒衍生的文件photo album.zip做为附件发送。

  行为分析:

  1、病毒运行后衍生病毒文件到系统目录下:

%WINDIR%\photo album.zip 
%system32%\rdshost.dll

  2、关闭当前任务管理器中一切可以关闭的进程。

  3、把病毒衍生的文件rdshost.dll插入到系统正常进程Explorer.exe中,并通过rdshost.dll连接指定的IRC信道,并接受控制者远程控制。

  4、修改注册表,添加启动项,以达到随机启动的目的:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad
键值:字串:"rdshost "= "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32
键值:字串:"@"="rdshost.dll"
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为可变字串。

  5、该病毒通过MSN传播,会检查用户是否开启MSN,如果开启则自动向用户MSN中的好友自动发送消息,并把病毒衍生的文件photo album.zip做为附件发送:

  自动向MSN好友发送消息:

QUOTE: 
  HEY lol ive done a new photo album !:)
Second ill find file and send you it.
Hey wanna see my new photo album?Hey accept my photo album, Nice new pics of
me and my friends and stuff and when i was young lol...
  Hey just finished new photo album! :) might be a few nudes .) lol...
  hey you got a photo album? anyways heres my new photo album :) accept k?
hey man accept my new photo album.. :( made it for yah, been doing picture
story of my life lol..

  并把病毒衍生的文件photo album.zip做为附件发送。6、控制者利用IRC通信信道远程控制中毒计算机:

  连接的IRC信道:darkjester.xplosionirc.net

  IP地址:89.159.185.142

  标准IRC控制命令:

NICK [%s][%iH]%s\n 
  lol lol lol :shadowbot
  USER %s\n
  #test
  JOIN %s\n
  %s
  PING :
  PING :
  PING :
  PONG :%s\n
  404JOIN %s\n
  #test
  JOIN %s\n
  KICK
  #test
  JOIN %s\n
  PRIVMSGNOTICE
  NOTICE

  注释:

  %Windir% WINDODWS所在目录

  %DriveLetter% 逻辑驱动器根目录

  %ProgramFiles% 系统程序默认安装目录

  %HomeDrive% 当前启动系统所在分区

  %Documents and Settings% 当前用户文档根目录

  %Temp% 当前用户TEMP缓存变量;路径为:

  %Documents and Settings%\当前用户\Local Settings\Temp

  %System32% 是一个可变路径;

  病毒通过查询操作系统来决定当前System32文件夹的位置;

  Windows2000/NT中默认的安装路径是 C:\Winnt\System32;

  Windows95/98/Me中默认的安装路径是 C:\Windows\System;

  WindowsXP中默认的安装路径是 C:\Windows\System32.

  清除方案:

  1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com .

  2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm .

  (1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

  (2) 强行删除病毒文件

  %WINDIR%\photo album.zip

  %system32%\rdshost.dll

  (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

  键值:字串:"rdshost "= "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

  HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32

  键值:字串:"@"="rdshost.dll"

  注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为可变字串。



相关文章


Exchange对象上显示“安全”选项卡
Windows旧病复发用户受中间人攻击
撤消WindowsXP自带的不实用功能
NetSky蠕虫病毒样本分析报告
Backdoor.Win32.IRCBot.aaq后门分析
Window erver2003设置技巧
Windows2003系统十例配置技巧
澳大利亚华人论坛
考好网
日本华人论坛
华人移民留学论坛
英国华人论坛