病毒分析:W32.Spybot.FBG蠕虫
添加时间: 2005-5-15 5:10:31 作者: 网络收集 阅读次数:123 来源: http://www.d9soft.com
该蠕虫病毒可以通过IRC通道进行远程控制,它包含有分布式拒绝服务(DDoS)以前后门功能,该病毒也尝试从受感染计算机上盗取机密信息。
其他命名:Backdoor.IRC.Bot(Norton杀毒软件检测病毒名称),WORM_SDBOT.WC(Trend Micro)
病毒类型:蠕虫
病毒长度:45,152 字节
受影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
风险指数:低
破坏指数:中
感染能力:中
该病毒执行时:
1,创建"-rb0t-serv3r"的互斥实例以确保该病毒可以唯一的运行于每个对话
2,将自身拷贝为:%System%\fwr.exe
3,在如下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加如下键值:
"Fwr Command Module" = "fwr.exe"
用以确保当Windows启动时病毒程序自动运行
4,删除如下的本地网络共享:
·$ipc
·$admin
·$c
·$d
5,尝试打开一个后门连接到一个位于loser.ezirc.net的IRC频道,该蠕虫将接听攻击者执行如下动作的命令:
·下载并执行文件
·发起拒绝服务攻击(DoS)
·盗取机密信息并发送给攻击者
·执行端口改向
·启动socks4代理
·使用自身的SMTP引擎发送e-mail
6,尝试盗取如下游戏的密码和CD-key(病毒作者是个游戏迷???):
Command & Conquer Generals 《命令与征服》
FIFA 2003《FIFA2003》
Need For Speed Hot Pursuit 2《极品飞车2--热力追踪》
Call of Duty(8知道中文名字……)
Soldier of Fortune II - Double Helix《命运战士--双重螺旋》
Neverwinter Nights《无冬之夜》
Rainbow Six III RavenShield 《彩虹六号》
Battlefield 1942 Road To Rome 《战地1942》
Battlefield 1942
Project IGI 2《秘密潜入》
Counter-Strike《反恐精英》
Unreal Tournament 2003《虚拟竞技场2003》
Half-Life《半条命》
7,尝试将自身拷贝到一个基于随机产生的IP地址列表中的远程计算机。它将自身拷贝为如下之一:
IPC$\fwr.exe
D$\fwr.exe
print$\fwr.exe
c$\fwr.exe
Admin$\fwr.exe
c$\windows\system32\fwr.exe
c$\winnt\system32\fwr.exe
Admin$\system32\fwr.exe
该病毒将使用如下密码:
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
000
0000
00000
000000
00000000
007
0wn3d
0wned
110
上一篇文章: “QQ尾巴病毒”核心技术的实现 下一篇文章: “就不让你用google”Netsky变种分析
相关文章: