Backdoor.Win32.IRCBot.aaq后门分析1 - 运维管理

病毒名称： Backdoor.Win32.IRCBot.aaq

　　病毒类型：后门

　　文件MD5： 383FA8F31BC56113DBB9F5B7527A6D0D

　　文件长度： 18，944 字节

　　感染系统： windows98以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

　　病毒描述：

　　该病毒为后门类，病毒运行后衍生病毒文件到系统目录下，关闭当前任务管理器中一切可以关切的进程，把衍生的DLL文件插入到系统正常进程Explorer.exe中，并通过rdshost.dll连接指定的IRC信道，并接受控制者远程控制。修改注册表，添加启动项，以达到随机启动的目的。该病毒通过MSN传播，会检查用户是否开启MSN，如果开启则自动向用户MSN中的好友自动发送消息，并把病毒衍生的文件photo album.zip做为附件发送。

　　行为分析：

　　1、病毒运行后衍生病毒文件到系统目录下：

%WINDIR%photo album.zip 
%system32%
dshost.dll

　　2、关闭当前任务管理器中一切可以关闭的进程。

　　3、把病毒衍生的文件rdshost.dll插入到系统正常进程Explorer.exe中，并通过rdshost.dll连接指定的IRC信道，并接受控制者远程控制。

　　4、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ShellServiceObjectDelayLoad 
键值：字串："rdshost "= "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" 
HKEY_CLASSES_ROOTCLSID{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}InProcServer32 
键值：字串："@"="rdshost.dll" 
注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为可变字串。

　　5、该病毒通过MSN传播，会检查用户是否开启MSN，如果开启则自动向用户MSN中的好友自动发送消息，并把病毒衍生的文件photo album.zip做为附件发送：

　　自动向MSN好友发送消息：

QUOTE: 
　　HEY lol i've done a new photo album !:) 
   Second ill find file and send you it.
   Hey wanna see my new photo album?Hey accept my photo album, Nice new pics of
   me and my friends and stuff and when i was young lol... 
　　Hey just finished new photo album! :) might be a few nudes ;) lol... 
　　hey you got a photo album? anyways heres my new photo album :) accept k?
    hey man accept my new photo album.. :( made it for yah, been doing picture 
    story of my life lol..

　　并把病毒衍生的文件photo album.zip做为附件发送。

Backdoor.Win32.IRCBot.aaq后门分析1
2007-12-03 网络

延伸阅读

热文

Backdoor.Win32.IRCBot.aaq后门分析1 2007-12-03 网络

延伸阅读

热文

Backdoor.Win32.IRCBot.aaq后门分析1
2007-12-03 网络