病毒资料
Win32.Toxbot是一个IRC(Internet在线聊天软件)后门控制程序(后者叫“bot”),黑客可以利用这个后门程序在未经授权的情况下可以远程访问染毒的机器。该后门程序还可以像蠕虫病毒一样利用管理员的弱口令和应用软件的漏洞远程访问共享网络。
该病毒在系统目录的文件名是变化的,而且采取“只读”、“隐含”、“系统”等属性将文件隐藏,以躲避用户的查询。
传播方式
Win32.Toxbot的变种能采取各种不同的途径和方式传播,而且人为通过系统后门手工控制的传播多于自动地传播。
通过共享网络传播(利用TCP445端口)
Win32.Toxbot可以通过Windows文件共享感染远程的机器。方法是:通过探测TCP445端口扫描到目标机器,然后通过ipc$,连接到远程的机器。Toxbot会使用自带的口令列表,通过猜口令的方式访问远程的目标机器。所以,如果目标机器的管理员帐户未设置口令或口令密码比较简单,则很容易被病毒猜到,进而获得访问和控制权。
利用漏洞
Win32.Toxbot还能利用Windows操作系统和第三方应用软件的漏洞进行传播。一旦发现目标机器上可以利用的漏洞,Win32.Toxbot就立刻与目标机器建立连接。
Win32.Toxbot可能利用以下已知漏洞进行传播:
Microsoft Windows LSASS 缓冲区溢出漏洞(TCP 135 和445端口,冲击波病毒利用的漏洞)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Microsoft Windows ntdll.dll缓冲区溢出漏洞(WebDav 攻击) (TCP 80端口)
http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx
Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP 135端口)
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx (替代了原MS03-026)
Alt-N WebAdmin USER 缓冲区溢出漏洞 (TCP 1000端口)
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?ID=21794
破坏性
利用Toxbot程序,Toxbot控制者(黑客)可以在被感染的机器上执行以下各种操作:
扫描其它的系统以便继续传播
得到bot 的版本信息
退出系统
获得系统信息(CPU类型、操作系统、IP地址等)
列出或杀掉进程和线程
使用HTTP下载文件
启动一个sock代理
