病毒别名:
处理时间:2004-06-15
威胁级别:★
中文名称:
病毒类型:黑客程序
影响系统:Windows 95, Windows 98, Windows NT, Windows 2000,
病毒行为:
Rbot家族
编写工具:
vc
传染条件:
发作条件:
系统修改:
1,拷贝自身到%System%目录
2,通过打开互斥体rx01来防止重复运行
3,可以对预定的目标进行dos攻击。
4,可以结束掉预定的程序列表,如各种病毒防火墙。
5,可以登录到预定的irc服务器,并接受攻击者的命令,然后将自身拷贝到一些固定的windows自启动项中:
WINDOWSAll UsersStart MenuProgramsStartUp
WINNTProfilesAll UsersStart MenuProgramsStartup
WINDOWSStart MenuProgramsStartup
Documenti e ImpostazioniAll UsersStart MenuProgramsStartup
Dokumente und EinstellungenAll UsersStart MenuProgramsStartup
Documents and SettingsAll UsersStart MenuProgramsStartup
6,向注册表添加以下键值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
名字是病毒可执行文件名,比如:
"Microsoft Update" = "wuamgrd.exe"
7,记录键盘操作,然后将这些信息藏在%System%的一个文件中。
8,记录并发送一些本地信息如:操作系统种类,ip地址,用户名等。
9,一定几率会开设一个后门。
发作现象:
特别说明: