蠕虫病毒Win32.Duiskbot.AH

蠕虫病毒Win32.Duiskbot.AH【蠕虫病毒Win32.Duiskbot.AH】Win32/Duiskbot.AH是一种IRC控制的蠕虫，通过攻击Server Service中的一个漏洞进行传播。它还可能传送一个包含蠕虫下载连结的即时讯息。运行时，Win32/Duiskbot.AH複製到%System%\dllcache\snchost.exe，这个档案是唯读的隐含档案，并作为一个服务注册这个档案,它尝试删除原始的副本，如果失败就会在系统重启时立即删除。
基本介绍中文名：蠕虫病毒Win32.Duiskbot.AH
流行程度：中
危害性：中等危害
病毒属性：蠕虫病毒
其它名称W32.Randex.GEL (Symantec), Backdoor.Win32.SdBot.bcm (Kaspersky), W32/Sdbot.VUF (F-Secure), W32/Vanebot-AB (Sophos)具体介绍病毒特性Win32/Duiskbot.AH是一种IRC控制的蠕虫，通过攻击Server Service中的一个漏洞进行传播。它还可能传送一个包含蠕虫下载连结的即时讯息。感染方式运行时，Win32/Duiskbot.AH複製到%System%\dllcache\snchost.exe，这个档案是唯读的隐含档案，并作为一个服务注册这个档案，为了在每次系统启动时运行病毒：Service name: Microsoft AgentDisplay name: Microsoft AgentDescription: Enable Microsoft Agent Service.注：'%System%'是一个可变的路径。病毒通过查询作业系统来决定当前系统资料夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32； 95，98 和 ME 的是C:\Windows\System； XP 的是C:\Windows\System32 。它尝试删除原始的副本，如果失败就会在系统重启时立即删除。传播方式通过漏洞传播为了传播，蠕虫在某些连线埠探测潜在的机器。它通过IRC控制的后门接受命令。蠕虫可能尝试通过以下进行传播：§ MS SQL (TCP 1433连线埠) - 针对"sa", "root" 或 "admin" 帐户通过弱口令攻击§ Microsoft Windows Server service buffer overflow vulnerability (TCP 139连线埠) 。请到以下站点下载相关的系统补丁：http://www.microsoft.com/china/technet/security/Bulletin/MS06-040.mspxDuiskbot.AH尝试使用以下弱口令：0000000000000000000000000000000000012123123412345123456123456712345678123456789abc123accessadmadminalphaanonanonymousasdfghbackdoorbackupbetabincoffeecomputercrewdatabasedebugdefaultdemofreegoguesthelloinstallinternetloginmailmanagermoneymonitornetworknewpassnicknobodynopassoneoraclepasspasswdpasswordpoiuytreprivatepubpublicqwertyrandomrealremoterootrulersecretsecuresecurityserversetupshadowshitsqlsupersyssystemtelnettemptesttest1test2visitorwebwindowswww默认的操作是探查系统，以被感染机器的IP位址前两位开始，第三位元组和第四位元组依次测试所有值。蠕虫的控制者还会指定其它的IP位址範围。如果攻击成功，Duiskbot.AH尝试执行以下操作（当攻击RealVNC漏洞时，蠕虫只执行第三种操作）：使存在漏洞系统的反病毒软体的服务失效（包括Norton, McAfee 和 Panda）；将代码写入C:\1.vbs档案，运行代码，随后删除这个档案。这个代码从HTTP伺服器下载一个Duiskbot.AH 病毒副本，并在原始的被感染系统上运行，随后运行这个下载的档案；如果上一步没有成功，就会将一些FTP命令写入%System%\x档案，使用FTP 运行这些命令（从一个FTP伺服器下载一个Duiskbot.AH 病毒副本在原始的被感染系统上运行），随后运行下载的档案并删除%System%\x档案。通过Instant Messenger传播Duiskbot.AH可能被指示通过即时讯息客户端（例如Yahoo! Messenger，MSN Messenger，ICQ 或 AOL Instant Messenger）进行传播。如果被指令，Duiskbot.AH就会传送信息连线到一个恶意的连结。通过一个HTTP伺服器，Duiskbot.AH可能回应一个HTML页面。当存在漏洞的机器使用Internet Explorer浏览一个恶意页面的时候，蠕虫的副本将从攻击主机下载到存在漏洞的机器上，并运行它。危害后门功能Duiskbot.AH包含后门功能，允许未经授权的访问并控制被感染的机器。它通过IRC被控制，在3921连线埠连线到rot.askum.net伺服器。利用这个后门，攻击者可能执行以下操作：命令操作reconnect 从IRC server 断开后再连线。join 加入另一个IRC channel 。part 离开特定的IRC channel 。remove 从系统删除Duiskbot的服务和档案。nickupd 生成一个新的nickname 。scan 开始扫描网路寻找存在漏洞的系统来分发病毒。scanstop 停止扫描存在漏洞的系统。pstore 从被保护的存储区获取信息。downlow 下载（并随意运行）一个任意档案，保存到特定的位置。upd 下载并运行Duiskbot 的一个新版本，并删除当前版本。xplstats 记录被攻击系统的数量统计。httpstop 停止执行一个HTTP拒绝服务攻击。httpdos 执行一个HTTP拒绝服务攻击。syn 执行一个SYN拒绝服务攻击。synstop 停止执行一个SYN拒绝服务攻击。kill 从IRC伺服器断开并退出。socks4 启动一个SOCKS 4 代理。imspread 尝试通过即时讯息传播。imstop 停止尝试通过即时讯息传播。运行Web和FTP伺服器Duiskbot.AH在被感染机器上的任意一个连线埠运行一个Web伺服器和一个FTP伺服器。攻击系统可能从这些伺服器下载蠕虫的副本。清除KILL安全胄甲Vet 30.3.3296版本可检测/清除此病毒。