新闻资讯
看你所看,想你所想

蠕虫病毒Win32.Duiskbot.AH

蠕虫病毒Win32.Duiskbot.AH

Win32/Duiskbot.AH是一种IRC控制的蠕虫,通过攻击Server Service中的一个漏洞进行传播。它还可能传送一个包含蠕虫下载连结的即时讯息。运行时,Win32/Duiskbot.AH複製到%System%\dllcache\snchost.exe,这个档案是唯读的隐含档案,并作为一个服务注册这个档案,它尝试删除原始的副本,如果失败就会在系统重启时立即删除。

基本介绍

  • 中文名:蠕虫病毒Win32.Duiskbot.AH
  • 流行程度:中
  • 危害性:中等危害
  • 病毒属性:蠕虫病毒

其它名称

W32.Randex.GEL (Symantec), Backdoor.Win32.SdBot.bcm (Kaspersky), W32/Sdbot.VUF (F-Secure), W32/Vanebot-AB (Sophos)

具体介绍

病毒特性

Win32/Duiskbot.AH是一种IRC控制的蠕虫,通过攻击Server Service中的一个漏洞进行传播。它还可能传送一个包含蠕虫下载连结的即时讯息。

感染方式

运行时,Win32/Duiskbot.AH複製到%System%\dllcache\snchost.exe,这个档案是唯读的隐含档案,并作为一个服务注册这个档案,为了在每次系统启动时运行病毒:
Service name: Microsoft Agent
Display name: Microsoft Agent
Description: Enable Microsoft Agent Service.
注:'%System%'是一个可变的路径。病毒通过查询作业系统来决定当前系统资料夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
它尝试删除原始的副本,如果失败就会在系统重启时立即删除。

传播方式

通过漏洞传播

为了传播,蠕虫在某些连线埠探测潜在的机器。它通过IRC控制的后门接受命令。蠕虫可能尝试通过以下进行传播:
§ MS SQL (TCP 1433连线埠) - 针对"sa", "root" 或 "admin" 帐户通过弱口令攻击
§ Microsoft Windows Server service buffer overflow vulnerability (TCP 139连线埠)。
请到以下站点下载相关的系统补丁:
http://www.microsoft.com/china/technet/security/Bulletin/MS06-040.mspx
Duiskbot.AH尝试使用以下弱口令:
00000000
0000000
000000
00000
0000
000
00
12
123
1234
12345
123456
1234567
12345678
123456789
abc123
access
adm
admin
alpha
anon
anonymous
asdfgh
backdoor
backup
beta
bin
coffee
computer
crew
database
debug
default
demo
free
go
guest
hello
install
internet
login
mail
manager
money
monitor
network
newpass
nick
nobody
nopass
one
oracle
pass
passwd
password
poiuytre
private
pub
public
qwerty
random
real
remote
root
ruler
secret
secure
security
server
setup
shadow
shit
sql
super
sys
system
telnet
temp
test
test1
test2
visitor
web
windows
www
默认的操作是探查系统,以被感染机器的IP位址前两位开始,第三位元组和第四位元组依次测试所有值。蠕虫的控制者还会指定其它的IP位址範围。
如果攻击成功,Duiskbot.AH尝试执行以下操作(当攻击RealVNC漏洞时,蠕虫只执行第三种操作):
使存在漏洞系统的反病毒软体的服务失效(包括Norton, McAfee 和 Panda);
将代码写入C:\1.vbs档案,运行代码,随后删除这个档案。这个代码从HTTP伺服器下载一个Duiskbot.AH 病毒副本,并在原始的被感染系统上运行,随后运行这个下载的档案;
如果上一步没有成功,就会将一些FTP命令写入%System%\x档案,使用FTP 运行这些命令(从一个FTP伺服器下载一个Duiskbot.AH 病毒副本在原始的被感染系统上运行),随后运行下载的档案并删除%System%\x档案。

通过Instant Messenger传播

Duiskbot.AH可能被指示通过即时讯息客户端(例如Yahoo! Messenger,MSN Messenger,ICQ 或 AOL Instant Messenger)进行传播。如果被指令,Duiskbot.AH就会传送信息连线到一个恶意的连结。通过一个HTTP伺服器,Duiskbot.AH可能回应一个HTML页面。当存在漏洞的机器使用Internet Explorer浏览一个恶意页面的时候,蠕虫的副本将从攻击主机下载到存在漏洞的机器上,并运行它。

危害

后门功能
Duiskbot.AH包含后门功能,允许未经授权的访问并控制被感染的机器。它通过IRC被控制,在3921连线埠连线到rot.askum.net伺服器。
利用这个后门,攻击者可能执行以下操作:
命令
操作
reconnect 从IRC server 断开后再连线。
join 加入另一个IRC channel。
part 离开特定的IRC channel。
remove 从系统删除Duiskbot的服务和档案。
nickupd 生成一个新的nickname。
scan 开始扫描网路寻找存在漏洞的系统来分发病毒。
scanstop 停止扫描存在漏洞的系统。
pstore 从被保护的存储区获取信息。
downlow 下载(并随意运行)一个任意档案,保存到特定的位置。
upd 下载并运行Duiskbot 的一个新版本,并删除当前版本。
xplstats 记录被攻击系统的数量统计。
httpstop 停止执行一个HTTP拒绝服务攻击。
httpdos 执行一个HTTP拒绝服务攻击。
syn 执行一个SYN拒绝服务攻击。
synstop 停止执行一个SYN拒绝服务攻击。
kill 从IRC伺服器断开并退出。
socks4 启动一个SOCKS 4 代理。
imspread 尝试通过即时讯息传播。
imstop 停止尝试通过即时讯息传播。
运行Web和FTP伺服器
Duiskbot.AH在被感染机器上的任意一个连线埠运行一个Web伺服器和一个FTP伺服器。攻击系统可能从这些伺服器下载蠕虫的副本。

清除

KILL安全胄甲Vet 30.3.3296版本可检测/清除此病毒。

相关推荐

声明:此文信息来源于网络,登载此文只为提供信息参考,并不用于任何商业目的。如有侵权,请及时联系我们:yongganaa@126.com