蠕虫病毒Win32.Duiskbot.AJ

编辑:大楼网互动百科 时间:2020-01-18 02:50:47
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
Win32/Duiskbot.AJ是一种IRC控制的蠕虫,通过攻击Server Service中的一个漏洞进行传播。它还可能发送一个包含蠕虫下载链接的即时消息。蠕虫的控制者能够请求它执行不同的操作,包括拒绝服务攻击、键盘记录、发送垃圾邮件、下载并运行任意文件。
中文名
蠕虫病毒Win32.Duiskbot.AJ
流行程度
病毒属性
蠕虫病毒
危害性
中等危害
种    类
IRC控制的蠕虫

蠕虫病毒Win32.Duiskbot.AJ其它名称

编辑
Mal/Behav-057 (Sophos), Backdoor.Win32.Mytobor.c (Kaspersky), W32.Spybot.Worm (Symantec)

蠕虫病毒Win32.Duiskbot.AJ病毒属性

编辑
蠕虫病毒

蠕虫病毒Win32.Duiskbot.AJ危害性

编辑
中等危害

蠕虫病毒Win32.Duiskbot.AJ流行程度

编辑

蠕虫病毒Win32.Duiskbot.AJ感染方式

编辑
运行时,Win32/Duiskbot.AJ复制到%System%\dllcache\ageofempires.exe,这个文件是只读的隐含文件,并作为一个服务注册这个文件,为了在每次系统启动时运行病毒:
Service name: Age of Empires III: The WarChiefs
Display name: Age of Empires III: The WarChiefs
Description: Age of Empires III: The WarChiefs.
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
它尝试删除原始的副本,如果失败就会在系统重启时立即删除。

蠕虫病毒Win32.Duiskbot.AJ传播方式

编辑

蠕虫病毒Win32.Duiskbot.AJ通过漏洞传播

为了传播,蠕虫在某些端口探测潜在的机器。它通过IRC控制的后门接受命令。蠕虫可能尝试通过以下进行传播:
§ RealVNC Authentication Bypass vulnerability (TCP 5800端口)
§ MS SQL (TCP 1433端口) - 针对"sa", "root" 或 "admin" 帐户通过弱口令攻击
§ MySQL (TCP 3306端口)
§ Microsoft Windows Server service buffer overflow vulnerability (TCP 139端口)。
请到以下站点下载相关的系统补丁:
http://www.microsoft.com/china/technet/security/Bulletin/MS06-040.mspx
§ Microsoft Windows Shell remote code execution vulnerability (Javascript)。
请到以下站点下载相关的系统补丁:
http://www.microsoft.com/technet/security/bulletin/ms06-057.mspx
Duiskbot.AJ尝试使用以下弱口令
00000000
0000000
000000
00000
0000
000
00
12
123
1234
12345
123456
1234567
12345678
123456789
abc123
access
adm
admin
alpha
anon
anonymous
asdfgh
backdoor
backup
beta
bin
coffee
computer
crew
database
debug
default
demo
free
go
guest
hello
install
internet
login
mail
manager
money
monitor
network
newpass
nick
nobody
nopass
one
oracle
pass
passwd
password
poiuytre
private
pub
public
qwerty
random
real
remote
root
ruler
secret
secure
security
server
setup
shadow
shit
sql
super
sys
system
telnet
temp
test
test1
test2
visitor
web
windows
www
默认的操作是探查系统,以被感染机器的IP地址前两位开始,第三字节和第四字节依次测试所有值。蠕虫的控制者还会指定其它的IP地址范围。
如果攻击成功,Duiskbot.AJ尝试执行以下操作(当攻击RealVNC漏洞时,蠕虫只执行第三种操作):
使存在漏洞系统的反病毒软件的服务失效(包括Norton, McAfee 和 Panda);
将代码写入C:\1.vbs文件,运行代码,随后删除这个文件。这个代码从HTTP服务器下载一个Duiskbot.AJ 病毒副本,并在原始的被感染系统上运行,随后运行这个下载的文件;
如果上一步没有成功,就会将一些FTP命令写入%System%\x文件,使用FTP 运行这些命令(从一个FTP服务器下载一个Duiskbot.AJ 病毒副本在原始的被感染系统上运行),随后运行下载的文件并删除%System%\x文件。
蠕虫使用"ageofempires.exe"文件名保存到被攻击的系统上,从HTTP或FTP服务器被请求的文件名通常使用以下任一个:
redworld.exe
redworld2.exe
<5digitrandomnumber>_redworld2.exe
蠕虫使用的这些文件名可能在浏览器的cache中发现,或副本的残余没有正确的转移可能还会有这些名字中的一个。

蠕虫病毒Win32.Duiskbot.AJ通过Instant Messenger传播

Duiskbot.AJ可能被指示通过即时消息客户端(例如Yahoo! Messenger,MSN Messenger,ICQ 或 AOL Instant Messenger)进行传播。如果被指令,Duiskbot.AJ就会发送信息连接到一个恶意的链接。通过一个HTTP服务器,Duiskbot.AJ可能回应一个HTML页面。当存在漏洞的机器使用Internet Explorer浏览一个恶意页面的时候,蠕虫的副本将从攻击主机下载到存在漏洞的机器上,并运行它。

蠕虫病毒Win32.Duiskbot.AJ危害

编辑

蠕虫病毒Win32.Duiskbot.AJ后门功能

Duiskbot.AJ包含后门功能,允许未经授权的访问并控制被感染的机器。它通过IRC被控制,在4915端口连接到email.hottest.es服务器。
利用这个后门,攻击者可能执行以下操作:
命令
操作
reconnect 从IRC server 断开后再连接。
join 加入另一个IRC channel。
part 离开特定的IRC channel。
remove 从系统删除Duiskbot的服务和文件。
sysinfo 返回信息,例如蠕虫运行时使用的用户名,和蠕虫的web服务器的IP地址和端口号
format 扫描所有硬盘和网络驱动器,将带有特定扩展名的文件长度重新设置为0。
nickupd 生成一个新的nickname。
scan 开始扫描网络寻找存在漏洞的系统来分发病毒。
scanstop 停止扫描存在漏洞的系统。
pstore 从被保护的存储区获取信息。
pstorestop 终止线程,尝试从被保护的存储区获取信息。
downlow 下载(并随意运行)一个任意文件,保存到特定的位置。
upd 下载并运行Duiskbot 的一个新版本,并删除当前版本。
sniffer 捕获TCP 通信量并尝试记录FTP 密码和其它信息。
xplstats 记录被攻击系统的数量统计。
keylog 记录用户输入的按键。
reverse 在被感染机器上打开一个command shell。
httpget 发送一个HTTP get 请求到一个特定的位置。
httppost 发送一个HTTP post 请求到一个特定的位置。
httpstop 停止执行一个HTTP拒绝服务攻击
httpdos 执行一个HTTP拒绝服务攻击
syn 执行一个SYN拒绝服务攻击
synstop 停止执行一个SYN拒绝服务攻击
kill 从IRC服务器断开并退出。
socks4 启动一个SOCKS 4 代理。
imspread 尝试通过即时消息传播。
imstop 停止尝试通过即时消息传播。
email 尝试发送垃圾邮件到一个地址列表。
以下是一些命令的说明:
Format
这个命令会引起Duiskbot.AJ扫描硬盘和网络驱动器的以下扩展名的文件:
ace
avi
dll
doc
exe
ini
iso
jpg
mdb
mp3
mpg
ocx
pdf
ppt
wmv
xls
zip
随后将这些文件的长度改为0。文件仍然显示在目录列表或Windows资源管理器中,但是不能使用,可能导致系统文件被损坏。
Keylog
这个命令会引起Duiskbot.AJ监控按键、鼠标点击和窗口之间的改变。如果用户转换到的窗口标题中包含"bank"字符,蠕虫就会 记录所有的登陆窗口的按键,并将信息发送到特定信道的IRC服务器。
蠕虫还可能监控以下特定的金融网站:
Wells Fargo
eBay
e-gold
iKobo
PayPal
StormPay
WorldPay
Western Union
有一个被迫删除浏览器(例如Internet Explorer 或 Mozilla Firefox)存贮的cookies选项,为了确保用户不得不重新登陆不同的密码保护的站点。

蠕虫病毒Win32.Duiskbot.AJ运行Web和FTP服务器

Duiskbot.AJ在被感染机器上的任意一个端口运行一个Web服务器和一个FTP服务器。攻击系统可能从这些服务器下载蠕虫的副本。

蠕虫病毒Win32.Duiskbot.AJ收集e-gold.com帐户信息

蠕虫可能监控活动的进程尝试收集用户的e-gold.com帐户信息。

蠕虫病毒Win32.Duiskbot.AJ使服务失效

Duiskbot.AJ使以下服务失效:
自动更新("wuauserv" 服务);
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)服务 ("SharedAccess" 服务);
Windows XP 系统的安全中心服务("wscsvc" - Windows XP service pack 2引入)。
它还生成以下键值,使病毒能够通过Windows Firewall:
HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\C:\WINDOWS\System32\dllcache
\ageofempires.exe = "C:\WINDOWS\System32\dllcache
\ageofempires.exe:*:Enabled:Age Of Empires III: The WarChiefs"

蠕虫病毒Win32.Duiskbot.AJ终止进程

Duiskbot通过关闭任意打开的窗口来终止特定的进程,目标进程的名称中包含以下内容:
Ad-aware
anti
avg
avp
blackice
firewall
f-pro
hijack
kav
lockdown
mcafee
nod32
norton
proc
reged
spybot
spyware
troja
viru
vsmon
zonea

蠕虫病毒Win32.Duiskbot.AJ修改系统设置

蠕虫修改以下注册表,使Windows支持的DCOM (Distributed Component Object Model)失效:
HKLM\Software\Microsoft\OLE\EnableDCOM = "N"
它还修改以下注册表,不接受远程机器的帐户列举:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous = 0x1
蠕虫还会修改以下注册表键值
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LMCompatibilityLevel = 0x1
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2 = 0x1
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP3 = 0x1

蠕虫病毒Win32.Duiskbot.AJ清除

编辑
KILL安全胄甲Vet 30.3.3306版本可检测/清除此病毒。
词条标签:
计算机学 科技 病毒