病毒名称:
Backdoor.Rbot.ahi
类别: 后门病毒
病毒资料:
破坏方法:
破坏方法:IRC后门程序
病毒采用VC编写,"Stealth 1.2"压缩。
病毒运行后有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名为"microsof.exe"。
文件属性被设置为隐藏、系统和只读。
二、修改注册表以下键值,以达到其自启动的目的:
1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加数据项:"IEXPlorer"
数据值为:"MICROSOFT.EXE"
2.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\Run
增加数据项:"IExplorer"
数据值为:"MICROSOFT.EXE"
3.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\RunServices
增加数据项:"IExplorer"
数据值为:"MICROSOFT.EXE"
三、创建名为"IExplorer"的互斥量以确保内存中只有一个病毒程序在运行。
四、使用病毒体内的密码字典猜测网络中其他计算机的IPC用户名及密码,以下为病毒试图猜测的用户名:
"administrador"、
"administrateur"、
"administrat"、
"admins"、
"admin"、
"staff"、
"root"、
"computer"、
"owner"、
"student"、
"teacher"、
"wwwadmin"、
"guest"、
"default"、
"database"、
"dba"、
"Oracle"、
"db2"
(所使用的密码字典由于篇幅太多,所以无法全部列举)
如果登录成功,病毒将会把自己复制到该计算机的%SYSDIR%目录下。
病毒会扫描网段内的机器,会占用大量网络带宽资源,容易造成局域网阻塞。
五、连接指定的IRC服务器(l33t.wo0t.net),并以特定的昵称加入指定的IRC频道,为其控制端提供以下远程控制服务:
1.查看本地计算机的系统信息;
2.结束本地计算机所运行进程;
3.对指定IP的计算机进行拒绝服务攻击;
4.下载指定的文件;
5.记录本地计算机用户的键盘操作信息;
6.窃取本地计算机中游戏软件的CD-KEY。
六、监听本地113端口,等待远程连接。
七、会利用“恶鹰”的漏洞和“WebDav”漏洞进行攻击传播。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-18
