Backdoor.Win32.IRCBot.aaq后门分析
病毒名称:back door . win32 . ircbot . aaq
病毒类型:后门
MD5:383 fa 31 BC 56113 db 9 F5 b 7527 a6 d0d
文件长度:18,944字节
感染:windows98或以上版本
开发工具:微软Visual C++ 6.0
贝壳类型:UPX 0.89.6-1.02/1.05-1.24
病毒描述:
这种病毒属于后一类。病毒运行后,将病毒文件导出到系统目录中,关闭当前任务管理器中所有可以关注的进程,将导出的DLL文件插入到系统的正常进程Explorer.exe中,通过rdshost.dll连接到指定的IRC通道,接受控制器的远程控制。修改注册表,添加启动项,达到随机启动的目的。病毒通过MSN传播,它会检查用户是否打开MSN。如果有,他们会自动给MSN里的好友发消息,并把病毒衍生的文件photo album.zip作为附件发送。
行为分析:
1.病毒运行后,将病毒文件导出到系统目录:
% WINDIR % \ photo album . zip % system32 % \ rds host . dll
2。关闭当前任务管理器中可以关闭的所有进程。
3.将病毒衍生文件rdshost.dll插入系统正常进程Explorer.exe,通过rdshost.dll连接到指定的IRC通道,接受控制器的远程控制。
4.修改注册表,添加启动项,达到随机启动的目的:
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ ShellServiceObjectDelayLoad键值:string:" rds host " = " { xxxxxxxx-xxxx-xxxxxxxxxxxxxxx } " HKEY _ classes _ root \ CLSID \ { xxxxxxxx-xxxx-xxxxxxxxxxxx } \ inprocserver 32键值:string: "@"="rdshost.dll "注:{ xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxx }是一个可变字符串。
5。当病毒通过MSN传播时,它会检查用户是否打开了MSN,如果打开了,它会自动向用户MSN中的好友发送消息,并将病毒衍生的文件photo album.zip作为附件发送:
自动向MSN好友发送消息:
引用:嘿,哈哈,我做了一个新的相册!:)其次,我会找到文件并发送给你。嘿,想看看我的新相册吗?嘿,接受我的相册,我和我的朋友们的新照片,还有我年轻时的照片,哈哈...嘿,刚刚完成新的相册!:)可能是几张裸体画;)lol...嘿,你有相册吗?不管怎样,这是我的新相册:)接受k?嘿,伙计,接受我的新相册吧..:(为你做的,一直在做我生活的图片故事,哈哈..
并将病毒衍生文件photo album.zip作为附件发送。6.控制器使用IRC通信信道远程控制中毒计算机:
连接的IRC频道:darkjester.xplosionirc.net
IP地址:89.159.185.142
标准IRC控制命令:
NICK[% s][% iH]%s\n lol lol lol:shadow bot用户% s \ n #测试加入% s \ n % s PING:PING:PONG:% s \ n 404加入% s \ n #测试加入% s \ n KICK #测试加入% s \ n特权通知
注意:
%Windir% WINDODWS目录
%DriveLetter%逻辑驱动器根目录
%ProgramFiles%系统程序的默认安装目录
%HomeDrive%当前启动系统所在的分区。
%文档和设置%当前用户的文档根目录
%Temp%当前用户临时缓存变量;路径是:
%文档和设置%\当前用户\本地设置\临时
%System32%是一个变量路径;
该病毒通过查询操作系统来确定当前System32文件夹的位置;
Windows2000/NT中的默认安装路径是C:\ win NT \ system32;
Windows95/98/Me中的默认安装路径是C:\ windows \ system;
Windows中的默认安装路径是C: \ Windows \ system32。
清除方案:
1.使用安田木马防线可以彻底清除此病毒(推荐)。请从www.antiy.com安田网站下载。
2.手动清理。请根据行为分析删除相应文件,并恢复相关系统设置。建议使用ATool(安田安全管理工具)。ATool的下载地址是www.antiy.com或者http://www.antiy.com/download/index.htm.
(1)使用安田木马防御或ATool中的“进程管理”关闭病毒进程。
(2)强行删除病毒文件
%WINDIR%\photo album.zip
%system32%\rdshost.dll
(3)恢复被病毒修改的注册表项,删除被病毒添加的注册表项。
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ ShellServiceObjectDelayLoad
键值:string:" rds host " = " { xxxxxxxx-xxxx-xxxx-xxxxxxxx } "
HKEY _类_根\ CLSID \ { XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX } \ in proc server 32
键值:字符串:" @"="rdshost.dll "
注意:{xxxxxxxx-xxxx-xxxx-xxxxxxxx}是一个可变字符串。
0条评论