病毒名称: Backdoor.Win32.Rbot.gen
中文名称: Rbot
病毒类型: 后门类
文件 MD5: 0A88A587E4312932A7905B1A1F0CC233
公开范围: 完全公开
危害等级: 中等
文件长度: 171,520 字节
感染系统: Win9X以上系统
开发工具: Microsoft Visual C++ 6.0
命名对照: 驱逐舰[Win32.HLLW.MyBot.based]
Ewido[Backdoor.Rbot]
病毒描述:
该病毒运行后,释放病毒文件到系统目录下。添加注册表启动项,以达到开机加载病毒体的目的。该病毒通过系统漏洞传播,当系统重启后运行病毒体,连接特定的IRC服务器,按病毒管理员指令,行合各种恶性功能。
行为分析:
1、释放下列副本与文件
%System32% lserv.exe 病毒副本
2、新建注册表键值:
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRunMicrosoft Office
键值: 字符串: "lserv.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunMicrosoft Office
键值: 字符串: "lserv.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunService
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServicesMicrosoft Office
键值: 字符串: "lserv.exe"
3、连接下列IRC地址:
TCP本机IP: 1113***.**.39.8 : 8585
4、可以执行下列恶性行为:
扫描IP段,以进行传播,IP段自动生成
建立FTP、TFTP服务器,发送文件
打开端口
打开与建立文件
DDOS攻击
Psniff
打开与停止服务
指定下载
泄露用户共享信息[net]: share list
5、记录受控端信息
account: %s
full name: %s
user comment: %s
comment: %s
unknown
administrator
user
guest
privilege level: %s
auth flags: %d
home directory: %s
parameters: %s
password age: %d
bad password count: %d
number of logins: %d
last logon: %d
last logoff: %d
logon server: %s
workstations: %s
country code: %d
user's language: %d
max. storage: %d
units per week: %d
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
lserv.exe
(2) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRunMicrosoft Office
键值: 字符串: "lserv.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunMicrosoft Office
键值: 字符串: "lserv.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunService
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServicesMicrosoft Office
键值: 字符串: "lserv.exe"
