Backdoor/Phatbot.e

Backdoor/Phatbot.e

Backdoor/Phatbot.e通过RPC DCOM漏洞，RPC Locator和IRC聊天软件进行传播，并会启动大量线程，对远程服务器发动多种DoS攻击，耗尽CPU资源。还会尝试破解局域网内其他计算机的密码，一旦破解成功，就自动感染。同时，该病毒还搜集用户机器上的游戏CDKey、Email地址和注册表信息，通过IRC向外发送。

具体技术特征如下：

1.将自身复制到%SystemDir%

vchip4.exe，并在注册表启动项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunService中添加：

“nVidia Chip4”= “nvchip4.exe”

如果病毒发现自己不在%SystemDir%目录中，在运行后自动删除自己。

2.自动结束将近600种杀毒软件和调试工具的进程，基本包括了所有国外杀软和常用工具。

3.搜索本地局域网的机器，通过RPC DCOM漏洞（135号端口）和RPC Locator(445号端口)进行传播，有可能造成“RPC错误，1分钟倒计时重启”现象。

4.自带IRC机器人模块，可以自动登陆IRC聊天服务器，与其他Backdoor/Phatbot机器人通过IRC进行通信。并可以利用其内嵌的FTP模块进行自我升级和其他文件传输。

5.将本地磁盘C:, D:, E:设置为共享，并用自带的密码字典（约包含100种常用密码）对局域网内的其他计算机进行暴力破解，一旦成功则感染该计算机。

6.会根据IRC上的得到指令，开启大量监听和发包线程，向远程计算机发动SYN, UDP, ICMP, HTTP等多种DoS攻击，使CPU资源耗尽。

7.窃取数十种游戏的CDKey，并通过IRC发送出去。

8.收集用户机器上的email地址，并通过IRC发送出去。

9.可以根据后门指令收集用户的注册表信息，通过IRC发送出去。