評論(0

蠕蟲病毒Win32.Duiskbot.AF

標籤: 暫無標籤

蠕蟲病毒Win32.Duiskbot.AF是一種IRC控制的蠕蟲,通過攻擊Server Service中的一個漏洞進行傳播。它還可能發送一個包含蠕蟲下載鏈接的即時消息。

其它名稱:W32/Backdoor.YJB (F-Secure), Exploit-MS06-040 (McAfee), w32.spybot.worm (Symantec), Backdoor.Win32.VanBot.t (Kaspersky), W32/Vanebot-Y (Sophos)
病毒屬性:蠕蟲病毒  危害性:中等危害  流行程度:中

1 蠕蟲病毒Win32.Duiskbot.AF -具體介紹:


病毒特性:
Win32/Duiskbot.AF是一種IRC控制的蠕蟲,通過攻擊Server Service中的一個漏洞進行傳播。它還可能發送一個包含蠕蟲下載鏈接的即時消息。


感染方式:
運行時,Win32/Duiskbot.AF複製到%System%\dllcache\svcshoter.exe,這個文件是只讀的隱含文件,並作為一個服務註冊這個文件,為了在每次系統啟動時運行病毒:
Service name: Microsoft Star Window Service
Display name: Microsoft Star Window Service
Description: Microsoft Star Window Service.



註:'%System%'是一個可變的路徑。病毒通過查詢操作系統來決定當前系統文件夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

它嘗試刪除原始的副本,如果失敗就會在系統重啟時立即刪除。

Duiskbot.AF還可能通過一個dropper文件分發。運行時,生成以下文件:
sxe.tmp – 一個乾淨的DLL 文件,包含的代碼用來解壓蠕蟲;
sxe.tmp – 一個壓縮的蠕蟲版本。

一旦Duiskbot已經將蠕蟲解壓為"sxe.tmp"到相同目錄中,它就會刪除以上兩個文件,隨後運行蠕蟲。


傳播方式:
通過漏洞傳播
為了傳播,蠕蟲在某些埠探測潛在的機器。它通過IRC控制的後門接受命令。蠕蟲可能嘗試通過以下進行傳播:
§ RealVNC Authentication Bypass vulnerability (TCP 5800埠)
§ MS SQL (TCP 1433埠) - 針對"sa", "root" 或 "admin" 帳戶通過弱口令攻擊
§ MySQL (TCP 3306埠)
§ Microsoft Windows Server service buffer overflow vulnerability (TCP 139埠)。
請到以下站點下載相關的系統補丁:
http://www.microsoft.com/china/technet/security/Bulletin/MS06-040.mspx
Duiskbot.AF嘗試使用以下弱口令:
00000000
0000000
000000
00000
0000
000
00
12
123
1234
12345
123456
1234567
12345678
123456789
abc123
access
adm
admin
alpha
anon
anonymous
asdfgh
backdoor
backup
beta
bin
coffee
computer
crew
database
debug
default
demo
free
go
guest
hello
install
internet
login
mail
manager
money
monitor
network
newpass
nick
nobody
nopass
one
oracle
pass
passwd
password
poiuytre
private
pub
public
qwerty
random
real
remote
root
ruler
secret
secure
security
server
setup
shadow
shit
sql
super
sys
system
telnet
temp
test
test1
test2
visitor
web
windows
www

默認的操作是探查系統,以被感染機器的IP地址前兩位開始,第三位元組和第四位元組依次測試所有值。蠕蟲的控制者還會指定其它的IP地址範圍。

如果攻擊成功,Duiskbot.AF嘗試執行以下操作(當攻擊RealVNC漏洞時,蠕蟲只執行第三種操作):
使存在漏洞系統的反病毒軟體的服務失效(包括Norton, McAfee 和 Panda);
將代碼寫入C:\1.vbs文件,運行代碼,隨後刪除這個文件。這個代碼從HTTP伺服器下載一個Duiskbot.AF 病毒副本,並在原始的被感染系統上運行,隨後運行這個下載的文件;
如果上一步沒有成功,就會將一些FTP命令寫入%System%\x文件,使用FTP 運行這些命令(從一個FTP伺服器下載一個Duiskbot.AF病毒副本在原始的被感染系統上運行),隨後運行下載的文件並刪除%System%\x文件。


通過Instant Messenger傳播
Duiskbot.AF可能被指示通過即時消息客戶端(例如Yahoo! Messenger,MSN Messenger,ICQ 或 AOL Instant Messenger)進行傳播。如果被指令,Duiskbot.AF就會發送信息連接到一個惡意的鏈接。通過一個HTTP伺服器,Duiskbot.AF可能回應一個HTML頁面。當存在漏洞的機器使用Internet Explorer瀏覽一個惡意頁面的時候,蠕蟲的副本將從攻擊主機下載到存在漏洞的機器上,並運行它。


危害:
後門功能
Duiskbot.AF包含後門功能,允許未經授權的訪問並控制被感染的機器。它通過IRC被控制,在4512埠連接到qmotion1.cbz1.biz伺服器。

利用這個後門,攻擊者可能執行以下操作:

命令 操作
reconnect 從IRC server 斷開后再連接。
join  加入另一個IRC channel。
part  離開特定的IRC channel。
rmrm  從系統刪除Duiskbot的服務和文件。
format32  掃描所有硬碟和網路驅動器,將帶有特定擴展名的文件長度重新設置為0。
nickupd  生成一個新的nickname。
scanstop  停止掃描存在漏洞的系統。
scan32  開始掃描網路尋找存在漏洞的系統來分發病毒。
pstore  從被保護的存儲區獲取信息。
down32  下載(並隨意運行)一個任意文件,保存到特定的位置。
up32  下載並運行Duiskbot 的一個新版本,並刪除當前版本。
sniffer  捕獲TCP 通信量並嘗試記錄FTP 密碼和其它信息。
xplstats  記錄被攻擊系統的數量統計。
keylog  記錄用戶輸入的按鍵。
reverse32  在被感染機器上打開一個command shell。
httpstop  停止執行一個HTTP拒絕服務攻擊。
imstop  停止嘗試通過即時消息傳播。
httpdos  執行一個HTTP拒絕服務攻擊。
synstop  停止執行一個SYN拒絕服務攻擊。
syn  執行一個SYN拒絕服務攻擊。
kill  從IRC伺服器斷開並退出。
socks4  啟動一個SOCKS 4 代理。
imspread  嘗試通過即時消息傳播。


以下是一些命令的說明:
Format32
這個命令會引起Duiskbot.AF掃描硬碟和網路驅動器的以下擴展名的文件:
ace
avi
dll
doc
exe
ini
iso
jpg
mdb
mp3
mpg
ocx
pdf
ppt
wmv
xls
zip
隨後將這些文件的長度改為0。文件仍然顯示在目錄列表或Windows資源管理器中,但是不能使用,可能導致系統文件被損壞。

Keylog
這個命令會引起Duiskbot.AF監控按鍵、滑鼠點擊和窗口之間的改變。如果用戶轉換到的窗口標題中包含"bank"字元,蠕蟲就會 記錄所有的登陸窗口的按鍵,並將信息發送到特定通道的IRC伺服器。
有一個被迫刪除瀏覽器(例如Internet Explorer 或 Mozilla Firefox)存貯的cookies選項,為了確保用戶不得不重新登陸不同的密碼保護的站點。


運行Web和FTP伺服器
Duiskbot.AF在被感染機器上的任意一個埠運行一個Web伺服器和一個FTP伺服器。攻擊系統可能從這些伺服器下載蠕蟲的副本。


收集e-gold.com帳戶信息
蠕蟲可能監控活動的進程嘗試收集用戶的e-gold.com帳戶信息。


使服務失效
Duiskbot.AF使以下服務失效:
自動更新("wuauserv" 服務);
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)服務 ("SharedAccess" 服務);
Windows XP 系統的安全中心服務("wscsvc" - Windows XP service pack 2引入)。

它還生成以下鍵值,使病毒能夠通過Windows Firewall:
HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\C:\WINDOWS\System32\dllcache\svcshoter.exe =
"C:\WINDOWS\System32\dllcache\svcshoter.exe:*:Enabled:Microsoft Star Window Service"


修改系統設置
蠕蟲修改以下註冊表,使Windows支持的DCOM (Distributed Component Object Model)失效:
HKLM\Software\Microsoft\OLE\EnableDCOM = "N"

它還修改以下註冊表,不接受遠程機器的帳戶列舉:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous = 0x1

蠕蟲還會修改以下註冊表鍵值:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LMCompatibilityLevel = 0x1

HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2 = 0x1
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP3 = 0x1

清除:
KILL安全胄甲Vet 30.3.3252版本可檢測/清除此病毒。

2 蠕蟲病毒Win32.Duiskbot.AF -相關條目

特洛伊病毒Win32.SillyDl.IQ
Win32.Kipis.A蠕蟲病毒
蠕蟲病毒Win32.Luder.U
特洛伊病毒Win32.Chepvil.C
蠕蟲病毒Win32.Luder.O
蠕蟲病毒Win32.Robzips.M
蠕蟲病毒Win32.Duiskbot.AF

相關評論

同義詞:暫無同義詞