蠕虫病毒Win32.Nirbot.A

编辑:大楼网互动百科 时间:2020-01-25 13:28:36
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
其它名称:W32/Backdoor.VZB (F-Secure), (Kaspersky), Troj/IRCBot-TC (Sophos), Win32/Nirbot.A!Worm, W32.Spybot.Worm (Symantec)
流行程度:中
病毒特性:
Win32/Nirbot.A是一种IRC控制的后门,能够未经授权的访问被感染机器,它还会显示类似蠕虫的功能。
中文名
蠕虫病毒Win32.Nirbot.A
外文名
Backdoor.Win32.IRCBot.yc
病毒属性
蠕虫病毒
危害性
中等危害

蠕虫病毒Win32.Nirbot.A具体感染与传播方式

编辑
感染方式:
第一次运行时,Nirbot.A复制到以下位置:
%System%\lemsrv.exe
并设置以下注册表键值,以确保在每次系统启动时运行病毒:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\LEMSRV = "%System%\lemsrv.exe"
Nirbot.A不断的查找并设置以上注册表键值
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
传播方式:
通过后门控制手工启动传播。
Nirbot.A以扫描易受攻击的目标机器开始传播程序。蠕虫为目标IP地址生成任意值。
Nirbot.A通过攻击Microsoft Windows Server Service (MS06-040)漏洞进行传播。如果攻击成功,它会在目标机器上运行一个很小的代码,用来连接后面的源,从而获取蠕虫的可运行程序。为了能够给目标提供蠕虫副本,蠕虫在源机器上运行一个HTTP服务器。如果在网络上攻击机器,并不能通过新的攻击主机到达,它就会从66.29.116.82 IP地址获取蠕虫副本。

蠕虫病毒Win32.Nirbot.A危害

编辑
后门功能
Nirbot.A是一种IRC控制的后门,为了能够控制被感染的机器,它尝试连接到一个预先确定的IRC服务器所在的域,并加入特定的信道。一旦被感染机器被控制住,黑客就可能指示Nirbot.A执行以下恶意操作:
获取系统信息,例如操作系统的详细信息;
从Internet下载并运行文件;
在被感染机器上运行一个 SOCKS 代理;
在被感染机器上运行命令
更新病毒;
删除病毒;
清除用户文件;
KILL安全胄甲InoculateIT 23.73.84,Ver 30.3.3246版本可检测/清除此病毒。
词条标签:
计算机学 病毒