病毒名称:
Backdoor.Rbot.afu
类别: 后门病毒
病毒资料:
破坏方法:
IRC后门程序
病毒采用VC编写,"MEW v1.x"压缩。
病毒运行后有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名为"winlogout.exe"。
二、修改注册表以下键值,以达到其自启动的目的:
1.HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加数据项:"Yahoo Instant Mess"
数据值为:"WINLOGOUT.EXE"
2.HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\Run
增加数据项:"Yahoo Instant Mess"
数据值为:"WINLOGOUT.EXE"
3.HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\RunServices
增加数据项:"Yahoo Instant Mess"
数据值为:"WINLOGOUT.EXE"
三、创建名为"640"的互斥量以确保内存中只有一个病毒文件在运行。
四、使用病毒体内的密码字典猜测网络中其他计算机的IPC用户名及密码,以下为病毒试图猜测的用户名:
"administrador"、
"administrateur"、
"administrat"、
"admins"、
"admin"、
"staff"、
"root"、
"computer"、
"owner"、
"student"、
"teacher"、
"wwwadmin"、
"guest"、
"default"、
"database"、
"dba"、
"Oracle"、
"db2"
(所使用的密码字典由于篇幅太多,所以无法全部列举)
如果登录成功,病毒将会把自己复制到该计算机的%SYSDIR%目录下。
五、连接指定的IRC服务器,并以特定的昵称加入指定的IRC频道,为其控制端提供以下远程控制服务:
1.查看本地计算机的系统信息;
2.结束本地计算机所运行进程;
3.对指定IP的计算机进行拒绝服务攻击;
4.下载指定的文件;
5.记录本地计算机用户的键盘操作信息;
6.窃取本地计算机中游戏软件的CD-KEY。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-11