病毒名称:
Backdoor.Rbot.aff
类别: 后门病毒
病毒资料:
破坏方法:
一个后门病毒
病毒行为:
病毒运行后将自己复制到%system%目录下,文件名为:Java.exe并在注册表
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices
中加入自己的键值,以达到自启的目的。
病毒还将修改注册中:
HKLM\Software\Microsoft\Ole的选项
"enabledcom" 使其值为n。
随后病毒驻留内存,实现以下功能
1.局域网传播:
病毒对局域网上的系统进行ipc联接.病毒对其管理员账号进行密码猜测.(病毒体内带有一个密码字典,如下) 注:病毒也将对管理员账号进行空密码联接.
nokia
siemens
cisco
sqlpassoainstall
databasepassWord
databasepass
dbpassword
Access
domain
loginpass
mike
qwe
homeuser
accounting
Outlook
system
1234567890
123456789
1234567
12345
passwd
password
database
default
teacher ....
一但成功,病毒将自己复制到目标系统.以达到传播的目的.
2.漏洞攻击
病毒利用当前系统的ip地址进行随机计算,并对其计算的ip地址进行"冲击波"漏洞和ms04011漏洞攻击.(病毒将利用smb协议判断出目标系统使用的操作系统版本,以达到提高成功率的目的.)一但成功,被攻击系统将从攻击发动者处下载病毒文件并执行.
3.病毒后门
病毒以特定的昵称登录mirc服务器,以方便病毒作者对其进行控制....
控制者可以利用该后门进行,文件上传,下载..网络flood攻击.获取一些当前系统安装的游戏cdkey,获取当前系统的信息等操作...
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-6
