病毒标签
病毒名称: Ba ckdoor.Win32.VB.xl(ipxsrv.exe) Backdoor.Win32.VB.xl(nwlink.exe)
病毒类型: WINDOWS下的木马程序
危害等级: 高
文件长度: nwlink.exe 160,256 字节 Ipxsrv.exe 160,256 字节
感染系统: WINDOWS NT以上 版本
编写语言: Visual Basic 5.0/6.0
病毒描述
病毒图标和本地连接的图标类似,借以欺骗用户。 ipxsrv.exe 及 nwlink.exe 不开放端口,从功能上分析类似 IRCBOT 后门控制手法 ,需要满足某种条件后才可被激活,感染后 在 %Windir% System32 中生成 nwlink.exe(160,256 字节)和 Ipxsrv.exe(160,256 字节) 两个文件。开启 NWLink IPX Compatible Transport Protocol 服务。可进行拒绝服务攻击,在进程中增加 nwlink.exe 和 Ipxsrv.exe ,利用客户端可实现,扫描功能,上传文件,下载文件功能,服务端版本升级,获得服务端操作系统版本及语言,处理器型号信息,url信息,以及HTTP,SMTP,SCAN 的相关操作,修改注册表文件。
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunServices
行为分析
1、 IRCX 功能
命令 S- ping/pong/IRCX/JOIN/MODE/Creat/join/i/privmsg/kick/nick/app/-close-multi/name
部分命令解释:
IRCX 命令来获知服务器是否支持 IRCX, 一些带有扩展功能的 IRCX 命令会包含一些额外的参数特别是 /mode 命令带有附加模式,只有 IRCX 服务器才能支持 也可查询服务器与 IRCX 的兼容性。
/Create /create 创建一个新的闲聊室,并设置其属性
/Join /Join [] 创建或加入闲聊室
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!