Backdoor.Win32.IRCBot.st 蠕虫公告

创建时间:2006-08-13 更新时间:2006-08-13
文章属性:原创
文章提交:killer (killer_at_xfocus.org)
Author: killer (killer<2>xfocus.org)
Date:2006-8-13

一、病毒描述:

近日,一种新的BOT蠕虫现身网络,该蠕虫利用最新的MS06040漏洞传播,目前已经有多个变种。从分析上看,基本目的为发动拒绝服务攻击,蠕虫主要内置了syn/udp/scan等命令。

二、病毒基本情况:

File Info
File: C:\WIN2K\system32\wgareg.exe
Size|Attrib: 0x2589 (9609), (disk) 0x2589 (9609) | (attrib) archive
Packer:MEW

三、病毒行为:

1、病毒体执行后,将自身拷贝到系统目录:

%System%\wgareg.exe

创建文件:%windir%\Debug\dcpromo.log

2、添加系统服务确保自身在系统重启动后被加载:

服务名:wgareg
显示名称:Windows Genuine Advantage Registration Service
服务描述:Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
对应文件:%System%\wgareg.exe

3、连接IRC地址,接受远程命令控制:

域名:ypgw.wallloan.com
bniu.househot.com

IRC IP:58.81.137.157 端口:18067
IRC IP:61.163.231.115 端口:18067
IRC IP:202.121.199.200 端口:18067
IRC IP:61.189.243.240 端口:18067

4、修改多处注册表键,用以关闭杀毒软件、防火墙降低系统安全性。

5、该蠕虫和还会下载其它木马,目前截获下载的木马为:Trojan-Proxy.Win32.Ranky.fv

四、临时解决方案:

1、防火墙处阻止TCP端口: 139、445
2、启用TCP/IP筛选功能进行过滤。
3、使用IPSec来阻止受影响的端口访问。

五、补丁下载:

前地址为:http://download.microsoft.com,以下直接写剩余路径:

中文Windows 2000 Service Pack 4:
/download/f/2/%%f/f2f6f032-b0db-459d-9e89-fc0218973e73/Windows2000-KB921883-x86-CHS.EXE

中文Windows XP Service Pack 1 及 Service Pack 2:
/download/3/1/b/31be1ef4-18e0-44a1-bc80-1753b8b43528/WindowsXP-KB921883-x86-CHS.exe

中文Windows Server 2003 及 Service Pack 1:
/download/3/1/e/31e1b295-80cf-47fb-be65-c542a55bc1cd/WindowsServer2003-KB921883-x86-CHS.exe

Windows XP Professional x64 Edition:
/download/0/f/9/0f9eb45e-cb70-40dd-8506-8cdf226731f7/WindowsServer2003.WindowsXP-KB921883-x64-ENU.exe

关注微信公众号,手机阅读更方便: 程序员的阅微草堂

知识共享许可协议莿鸟栖草堂CFC4N 创作,采用 知识共享 署名-非商业性使用-相同方式共享(3.0未本地化版本)许可协议进行许可。基于http://www.cnxct.com上的作品创作。转载请注明转自:Backdoor.Win32.IRCBot.st 蠕虫公告

发表评论

电子邮件地址不会被公开。 必填项已用*标注

This site uses Akismet to reduce spam. Learn how your comment data is processed.