Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法_病毒查杀

文件名称:video.exe

文件大小:40960 bytes 

AV命名:Backdoor.Win32.IRCBot.afm (Kaspersky)

加壳方式:未知

编写语言:Microsoft Visual C++

病毒类型:IRC后门

文件MD5:c06d070c232bc6ac6346cbd282ef73ae 

行为分析:

1、释放病毒副本:

%Srstemroot%system32\firewall.exe    40960 字节。

(文件名应该是随机的,不一定是这个)。

压缩副本病毒,保存为压缩包。并随机命名,可能是:

IMG0007.PICTUREUPLOAD.COM
IMG0007
game
video
photoalbum

2、修改注册表,开机自启:

HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run

Registry value: Windows Network Firewall         Type: REG_SZ

指向:%Srstemroot%system32\firewall.exe

3、添加到系统防火墙的忽略列表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\List

键名为:%Srstemroot%system32\firewall.exe,实现穿墙。

4、连接72.10.167.**IRC服务器,接受远程控制,可在被控端终止任意进程,并利用为跳板或DDOS攻击。

可能接受以下命令:

QUIT 
PART 
JOIN 
TOPIC 
NOTICE 
PRIVMSG 
ddos
servu
serv u
serv-u
clone 
flood 

5、下载其他木马,技术行为都差不多,随机命名的。

6、枚举局域网络资源,尝试利用IPC、print、Admin等共享传播病毒,以下面字典猜用户和口令:

db1234
databasepassword
databasepass
dbpassword
dbpass
domainpassword
domainpass
hello
hell
love
money
slut
**
**
exchange
loginpass
login
win2000
winnt
winxp
win2k
win98
windows
oeminstall
accounting
accounts
letmein
outlook
mail
qwerty
temp123
temp
null
default
changeme
demo
test
2005
2004
2001
secret
payday
deadline
work
1234567890
123456789
12345678
1234567
123456
12345
1234
pass
pass1234
passwd
password
password1 
若成功,则拷贝病毒副本至对方目录,可能是:

C:\Documents and Settings\All Users\Documentsc:\windows\system32
c:\winnt\system32
c:\windows
c:\winnt

7、利用系统漏洞传播(Lsass、RPC等漏洞),攻击的IP范围:

124.72.143.173(起始) - 随机。

被攻破的计算机可能被传播该病毒。

8、尝试以管理员身份连接其他服务器,可能是下列未授权的用户名:

staff
teacher
owner
student
intranet
main
office
control
siemens
compaq
dell
cisco
oracle
data
access
database
domain
backup
technical
mary
katie
kate
george
eric
none
guest
chris
neil
brian
susan
luke
peter
john
mike
bill
fred
wwwadmin
oemuser
user
homeuser
home
internet
root
server
linux
unix
computer
admin
admins
administrat
administrateur
administrador
administrator

如成功,则读取并试图破解FlashFXP\sites.dat。

然后可能会将病毒文件复制到该服务器。

9、尝试盗取一些CD-Key,可能是Unreal3、World Of Warcraft等。

解决方法:

1、下载sreng2.zip

2、重启,按F8进入安全模式。

3、打开SREng,删除注册表:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

      <Windows Network Firewall><C:\winnt\system32\firewall.exe>    []

PS:可能键值也文件名不同。注意区别哈,不懂的话,把日志发到反毒区。。

4、一定要打齐系统漏洞。。

时间: 2024-09-21 10:00:02

Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法_病毒查杀的相关文章

关于winasse.exe生成Win59.exe等病毒的解决方法_病毒查杀

卡巴已经提示了一早上,一开始卡巴还有"删除"的项目,到后来就只有"恢复"和"跳过"了,这个病毒,从win3.exe一直在变,只要你按跳过,20秒不到就弹出下一个组合.晕倒了啊...有图片,这个是什么病毒怎么查杀?网上查了也没有一个解决方法.高手帮忙.谢 复制代码 代码如下: HijackThis_zww汉化版扫描日志 V1.99.1  保存于 11:01:38, 日期 2006-9-12  操作系统: Windows XP SP2 (WinNT 

开机CPU就是100%cmd.exe病毒进程清除方法_病毒查杀

发布时间:2007-02-09  中毒症状:      开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU.关闭cmd.exe后,CPU实用率恢复正常.但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 1.装了ewido 查杀木马,查出了几个感染目标,已删除.但是今 天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 2.再装"木马清除专家2006",查杀,结果没有发现木马. 3.查system 3

microsoft.exe病毒与清除方法_病毒查杀

最近用超级兔子检测出可疑程序microsoft.exe,位于C:\WINDOWS\system32下,在进程里关了 后又出现在进程里,在安全模式下删了后,重起又有了!~~请问这个是病毒吗?microsoft - microsoft.exe - 进程信息  进程文件: microsoft 或者 microsoft.exe  进程名称: GAOBOT Virus www.sstorm.cn我们的永久域名!  进程名称: microsoft.exe是高波GAOBOT病毒相关程序.该病毒利用Window

conime.exe是什么附conime.exe病毒的清除方法_病毒查杀

非常郁闷的事情,最近conime.exe好像又红火起来了,早在2005年就有很多人问conime.exe是什么进程,是病毒吗? 1.conime.exe不一定是病毒,conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号.但也不排除是bfghost1.0远程控制后门程序(伪装成conime.exe输入法进程).此程序允许攻击者访问你的计算机,窃取密码和个人数据.建议立即删除此进程.  2.这里我们介绍下正常conime.exe进程的进程信息: 出品者: 微软 属于: M

autorun.inf+无法显示隐藏文件+病毒的清除方法_病毒查杀

情况 所有盘符右键都有运行,各个盘下都会出现随机的8位的XXXXXXXX.exe和autorun.inf文件 上网搜索病毒.木马等都会被病毒关掉,无法打开nod32等杀毒 软件 无法查看隐藏文件,解决方法: 方法一:修改注册表文件(将下面的文件保存位ok.reg)运行即可 复制代码 代码如下: Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex

最近流行的ARP病毒彻底清除方法_病毒查杀

前几天回学校交论文,好多同学的电脑上都中了这号病毒,卡巴,瑞星也老杀不干净,后来大家通过上网找资料和请教一些高手,终于解决了,现在把经验同大家分享: 1.删除 "病毒组件释放者"程序: "%windows%\System32\LOADHW.EXE" (window xp 系统目录为:"C:\WINDOWS\System32\LOADHW.EXE" ) 2.删除 "发ARP欺骗包的驱动程序" (兼 "病毒守护程序&qu

防范“熊猫烧香”病毒的设置方法_病毒查杀

"熊猫烧香"病毒不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复:同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性.  这几天"熊猫烧香"的变种更是表象异常活跃,近半数的网民深受其害.对于已经感染"熊猫烧香"病毒的用户,建议参考<熊猫烧香病毒专杀及手动修复方案>,下载其中的专钉工具进行查杀,也可手动查杀.技术专家还总结了以下预防措

Trojan.DL.VBS.Agent.cpb(k[1].js)脚本病毒的解决方法_病毒查杀

脚本病毒:Trojan.DL.VBS.Agent.cpb (文件名为k[1].js)老是在internet临时文件里出现,瑞星监控杀了又来,如此反复着!我试图清空临时文件,但一上网打开网页(不管是哪些网页),那个k[1].js又会被瑞星监控到.这是怎么回事呀?是误报吗? 该网页利用MS06-014漏洞,下载http://day.91tg.net/xp.dll到C:\WINDOWS\winhelp.dll,并直接写入注册表 Code: HKLM\SOFTWARE\Classes\CLSID\{6B

autorun.inf和sbl.exe之U盘病毒的清除方法_病毒查杀

病毒生成如下文件: Code: C:\WINDOWS\system32\1.inf C:\WINDOWS\system32\chostbl.exe C:\WINDOWS\system32\lovesbl.dll 在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏 注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的. 启动类型:自动 显示名称:A GooD DownLo