CAJINCHEN - 2005-8-21 23:57:00
其它名称:W32/IRCbot.worm!MS05-039 (McAfee), Win32.MS05-039!exploit, Win32/MS05-039!exploit!Worm, Win32.Peabot.A, WORM_RBOT.CBQ (Trend), W32/Tpbot-A (Sophos), Net-Worm.Win32.Small.d (Kaspersky), W32.Zotob.E (Symantec)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:中
具体介绍:
病毒特性:
Win32.Tpbot.A是一种IRC控制后门的蠕虫(也成为bot),可以未经授权的进去被感染的机器。通过微软即插即用中的漏洞可能允许远程执行代码和特权提升(MS05-039)进行传播的蠕虫。蠕虫是大小为10,366字节的Win32 可运行程序,以UPX 和 Yoda's Cryptor格式加壳。
感染方式:
运行时,Win32.Tpbot.A生成一个名为"wintbp.exe"的互斥体,如果这个互斥体已经存在,病毒就会退出。
Win32.Tpbot.A复制wintbp.exe到%System%目录,并修改以下注册表,使得这个副本可以在每次系统启动时运行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\wintbp.exe = "wintbp.exe"
它还会生成并启动一个批处理文件,用来删除最初的运行程序。批处理文件生成在%Temp%目录,文件名使用"<number>.bat"格式,<number>是一个从100到999的任意3位数字,例如:"257.bat"。它删除最初的蠕虫副本后,就会删除这个批处理文件。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%是一个可变路径,指向存放临时文件的目录。病毒通过查询操作系统来决定当前Temp文件夹的位置。一般在以下路径:"C:\Documents and Settings\<username>\Local Settings\Temp",或 "C:\WINDOWS\TEMP"。
传播方式 :
蠕虫攻击微软即插即用中的漏洞进行传播。蠕虫搜索任意IP地址作为潜在目标,通过445端口查找存在漏洞的系统。
如果攻击漏洞成功,蠕虫指示目标机器连接源机器,并利用Windows TFTP(Trivial File Transfer Protocol)下载。下载的蠕虫文件名使用"a<number>.exe"格式,<number>是从1000到9999的任意数字,例如:"a1000.exe"。随后,它指示目标机器运行这个文件,从而感染目标机器。
为了能够通过TFTP传输,在源系统上蠕虫作为一个TFTP服务器,监听UDP 69端口( TFTP 端口标准)。
可以通过以下站点下载相关的微软的系统补丁:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
危害
后门功能
蠕虫利用IRC控制后门,允许远程用户可以未经授权的进入被感染机器。
蠕虫通过8080端口连接IRC服务器,并加入特定的信道,等待指令。蠕虫接受指令在被感染机器上执行以下操作:
§ 通过HTTP 下载文件并运行
§ 退出蠕虫
§ 从系统中删除蠕虫
清除:
KILL安全胄甲InoculateIT v23.70.11;Vet 11.x/9341 版本可检测/清除此病毒。
kill版本:
© 2000 - 2025 Rising Corp. Ltd.