病毒特征:
Win32.Cuebot是一族IRC控制的蠕虫,通过LSASS缓冲器溢出漏洞进行传播。蠕虫以MEW格式压缩,大小是可变的(长度一般在5000到7000字节之间),Win32可运行程序。
感染方式:
执行时,Win32.Cuebot的变体复制自身到%System%目录,不同的变体使用不同的文件名。已知的变体使用以下名称进行复制:
SYSTEM.EXE
winpnp32.exe
winpnp.exe
mousehs.exe
hwclock.exe
注:%System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
为了能够在每次系统启动时运行病毒,Cuebot将自身作为一个服务安装。以下是Cuebot的变体可能生成的服务名称:
winpnp
mousehs
hwclock
Service Control Application
winpnp32
蠕虫还会在"%Windows%\Debug"目录生成一个名为"dcpromo.log"的无害的文件。
注:%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。
传播方式:
通过漏洞传播
Cuebot生成任意IP地址,并尝试连接目标IP地址的445端口,攻击LSASS缓冲器溢出漏洞(MS04-011)。如果攻击漏洞成功,蠕虫将从原始机器下载一个病毒副本。可以到以下站点下载微软的系统补丁:
http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx
危害:
后门功能
Cuebot可以利用IRC控制后门,远程用户就可以未经允许的进入被感染的机器。蠕虫连接特定的IRC服务器,根据不同的变体,加入特定的信道并等待指令。随后蠕虫接受指令,在被感染的机器上执行以下操作:
§ 下载并运行任意文件或更新(下载到%Temp% 目录)
§ 开始传播
§ 执行拒绝服务(DOS) 攻击 (通过 SYN)
修改系统设置
Cuebot设置以下键值来改变被感染系统的安全设置:
HKLM\system\currentcontrolset\control\lsa\restrictanonymous = "1"
HKLM\software\microsoft\ole\EnableDCOM = "N"
