|
 | 作者: sksy [sksy]
 论坛用户 |
登录 |
如题! |
| 地主 发表时间: 03-12-24 18:49 |
 | 回复: wuxiu [wuxiu]  论坛用户 |
登录 |
|
Backdoor.IRC.Cloner.k Backdoor.IRC.Cloner.k是依托于mIRC程序,利用mIRC强大的脚本功能进行攻击和访问控制的后门程序。整个后门程序由多个部分组成: 1 病毒利用程序。包括kill.exe,psexec.exe,adobea.exe,attrib.exe,ntsys.exe。 2 病毒核心程序。包括adobes.exe,abc2.dll,abcd.jpg,abc.bat,ntdll.bat。 3 其他病毒生成文件和相关配置文件。 一 病毒利用程序 kill.exe (以进程号做参数结束进程的工具) psexec.exe (远程进程序启动工具) adobea.exe (mIRC主程序) attrib.exe (设置文件属性的程序) ntsys.exe (隐藏窗口的程序) 二 病毒核心程序 adobes.exe(隐藏程序)(病毒名称是Backdoor.mIRC-based) 为一个Visual Basic编写的程序,该程序的作用为启动adobea.exe(即mirc程序)并把该程序的窗口设成隐藏。以便让mirc程序启动时不被用户发觉。该程序被加入到注册表run项中,系统启动时自动加载(加入注册表的部分在病毒脚本中)。 abc2.dll (配置文件) mirc的配置文件,这个配置文件为病毒作者设计的,主要是把mirc的window等设成隐藏方式。并设一个执行脚本:文件名为abcd.jpg。 abcd.jpg(服务器脚本) ***后门实体*** (病毒名称是Backdoor.IRC.Cloner.k) 病毒的主体部分,该脚本实现的功能非常之多,它把mirc变成“功能强大”的服务器,可以实现端口扫描,文件服务器,邮件炸弹,Flood 攻击,UDP攻击,ICQ页面炸弹,局域网文件传染,局域网消息炸弹等多种攻击方式,把当前系统变成一个攻击服务器。 abc.bat (功能脚本) (可作传染部分) (病毒名称是Backdoor.IRC.Cloner.k.bat) 尝试利用ipc通讯和指定系统连接。这里将尝试几个简单的密码连接。如果连接成功,将把shell32core.exe 复制到目标系统上并启动它。 ntdll.bat (功能脚本) 删除本地系统的所有共享资源。 三 其他病毒生成文件和相关配置文件 病毒根据扫描结果会生成一些配置文件来记录扫描结构信息。 恶意IRC后门管理软件 Backdoor.IRC.SdBot SdBot 是一个远程的恶意后门管理软件。该病毒可通过IRC发送命令远程控制被感染者的电脑。 ���� ����安装 ����依赖于此后门程序的版本,病毒将自己或者复制到Windows系统目录,或者复制到系统目录下的其他目录。程序还在注册表中写入下列值之一,每次启动Windows都会执行: ���� ����HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun ���� ����病毒的版本不同,注册值的名称也不同。 ���� ����传播 ���� ����SdBot后门程序连接到各种IRC服务器上,然后通过程序Hard coded的通道建立连接,接收来自操纵者(程序控制者)的远程控制命令人。这些远程命令具有下载和执行远程文件的功能,作用类似于IRC代理服务器,可加入到IRC通道、通过IRC发送消息、给远程计算机发送UDP和ICMP包等等。 |
| B1层 发表时间: 03-12-27 00:35 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: backdoor/IRc是何病毒?