Win32.Toxbot的变种能采取各种不同的途径和方式传播,而且人为通过系统后门手工控制的传播多于自动地传播。
通过共享网络传播(利用TCP445端口)
Win32.Toxbot可以通过Windows文件共享感染远程的机器。方法是:通过探测TCP445端口扫描到目标机器,然后通过ipc$,连接到远程的机器。Toxbot会使用自带的口令列表,通过猜口令的方式访问远程的目标机器。所以,如果目标机器的管理员帐户未设置口令或口令密码比较简单,则很容易被病毒猜到,进而获得访问和控制权。

利用漏洞
Win32.Toxbot还能利用Windows操作系统和第三方应用软件的漏洞进行传播。一旦发现目标机器上可以利用的漏洞,Win32.Toxbot就立刻与目标机器建立连接。
Win32.Toxbot可能利用以下已知漏洞进行传播:

Microsoft Windows LSASS 缓冲区溢出漏洞(TCP 135 和445端口,冲击波病毒利用的漏洞)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Microsoft Windows ntdll.dll缓冲区溢出漏洞(WebDav 攻击) (TCP 80端口)
http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx
Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP 135端口)
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx (替代了原MS03-026)
Alt-N WebAdmin USER 缓冲区溢出漏洞 (TCP 1000端口)
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?ID=21794

破坏性
利用Toxbot程序,Toxbot控制者(黑客)可以在被感染的机器上执行以下各种操作:
扫描其它的系统以便继续传播
得到bot 的版本信息
退出系统
获得系统信息(CPU类型、操作系统、IP地址等)
列出或杀掉进程和线程
使用HTTP下载文件
启动一个sock代理

Worm@W32.Toxbot
Toxbot會透過系統漏洞來散播,請用戶要上網做系統更新
Worm@W32.Toxbot是一隻網路駭蟲,它會開啟已中毒電腦上的IRC後門,並且會藉由系統的漏洞來散播。

基本介紹
病毒名稱 Worm@W32.Toxbot
病毒別名 W32.Toxbot
病毒型態 Worm
病毒發現日期 2005/03/11
利用漏洞
 MS04-011(英文)  MS04-011(中文)
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度:中 破壞程度:中

Worm@W32.Toxbot 行為描述:
註:在Win95/98/me %System% 預設值為 C:\\windows\\System
在WinNT/2000/XP/2003 %System% 系統預設值為 C:\\WinNT\\System32
駭蟲會裝置一個後門程式並允許遠端的駭客透過IRC頻道從已中毒的電腦來散播感染。
後門程式允許遠端駭客執行下列的各項行為:
Log keystrokes
End processes
Steal cached passwords
Steal system information
Download remote files

駭蟲會產生下列的服務:
Distributed Link Tracking Service

駭蟲會開啟在下列各項領域其中之一的TCP port6556上的一個後門:
i.randomized.it
0×90.devtech.us
0×41.memzero.info

透過病毒執行後,將駭蟲本身複製到%System%
random file name.exe.
TrkWksvc.exe

[random file name]通常會有8個特徵,可能的例子包括:
TrkWksrv.exe
dxdllsvc.exe
ciclient.exe

修改登錄檔,如此開機即會啟動駭蟲。
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\[random file name]
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\SafeBoot\\Network\\[random file name]
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\
Minimal\\TrkWksvc
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\
Network\\TrkWksvc
名稱=(Default) 值=Service

http://securityresponse.symantec.com/avcenter/FxToxbot.exe
下載這個程式,它會幫你自動移除該病毒!

我看到的norton网站的清除方法是这样的,记得先备份注册表!
http://securityresponse.symantec.com/avcenter/venc/data/w32.toxbot.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.toxbot.removal.tool.html

–W32.Toxbot的手工清除方法
最近公司里有多台机器被病毒感染。其中有一W32.Toxbot的蠕虫伪装成名为“netddeclnt”的服务进程,Norton虽然可以查到但却无法杀除。此木马的宿主为%System32%\\\\netddeclnt.exe,其作为Windows的Service在系统自举时加载,故杀毒软件无法进行清除。

1、在“服务”中找到“Network DDE Client”,将其停止并禁用;
2、删除HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\SafeBoot\\\\Minimal下的“NetDDEClient”区;
3、删除HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\SafeBoot\\\\Network下的“NetDDEClient”区;
4、重新启动你的PC吧。

同事用NORTON企业版,结果总是报告找到 NETDDESRV.EXE W32.TOXBOT病毒,没有办法杀掉,也没有办法隔离,不同的报告,短短几分钟就报告了上百次。
找了一些资料,也没有办法对应干掉。

无聊之下,跑到任务管理器,停止 NETDDESRV进程,然后删除该文件,再进入注册表删除所有相关项。

真是很奇怪,我都可以杀掉,为什么 NORTON居然不行??

历史博文

标签:
九月 19, 2005 at 8:46 上午 by yippee 1,009 次
Category: RAN乱
Tags: