Backdoor.Rbot.wp - 王朝网络宽屏版

病毒名称:

Backdoor.Rbot.wp

类别：后门病毒

病毒资料：

破坏方法：

RBot变种。

集黑客，蠕虫，后门功能于一体。通过局域网共享目录和利用系统漏洞进行传播。

体内带有弱口令字典，用户如不注意设定密码则系统很容易被攻破。

写了注册表启动项，每次开机病毒都能启动。

运行后连接特定IRC服务器的特定频道，接受黑客控制，发送本地信息。

接收黑客发来的命令在本地执行。并将执行结果发回IRC聊天频道。

病毒会扫描网段内的机器并猜测共享密码，会占用大量网络带宽资源，容易造成局域网阻塞。

一、IRC（Internet Relay Chat）连接。

试图通过"80.53.80.74" 的TCP 1241 端口建立通讯。

二、文件和注册表

1. 复制自己到系统目录，命名为“system64.exe”。

2. 在下列键添加启动项“irda Microsoft driver”使病毒随Windows的启动而自动运行。每隔一分钟进行一次修改。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\Currentversion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows

\Currentversion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\Currentversion\RunServices

3. 修改系统设置。每隔两分钟进行一次修改。

HKEY_LOCAL_MACHINE\Software\Microsoft\OLE

\EnableDCOM = N

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Control\Lsa\restrictanonymous = 0x1

三、监听本地113端口，建立通讯后，接收远程控制命令。可以进行下列控制操作。

1. 偷用户正版游戏的序列号。

Command & Conquer Generals 、

FIFA 2003 、NFSHP2 、SOF2 、

Soldier of Fortune II - Double Helix

Battlefield 1942

Project IGI 2 、Unreal Tournament 2003

Half-Life

2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接，把病毒复制过去，并运行起来，进行新的破坏。病毒带有一个密码字典，包含一百多个数字、字母、词汇的简单组合。

3. 记录键盘输入。通过这种方式可以获得用户的各种密码（Windows登陆、邮箱、论坛、游戏、网络支付等等）。

4. 发动SYN 攻击，造成指定机器拒绝服务。

5. 下载文件并运行。往往用作传递新的远程控制程序，进行直接控制。

6. 终止系统的进程和线程。

四、病毒频繁的扫描内存进程，终止并禁止反病毒软件的运行。

五、病毒可以建立一个HTTP、FTP服务器，进行文件上传、下载和运行操作。

六、病毒使用的字典如下，建议用户一定使用复杂的密码。

administrator

administrador

administrateur

administrat

admins

admin

staff

computer

owner

student

teacher

wwwadmin

guest

default

database

Oracle

administrator

administrador

administrateur

administrat

admins

admin

passWord1

password

passwd

pass1234

12345

123456

1234567

12345678

123456789

1234567890

guest

Linux

changeme

default

system

server

qwerty

Outlook

internet

accounts

accounting

homeuser

oemuser

oeminstall

windows

win98

win2k

winXP

winnt

win2000

peter

susan

peter

brian

chris

george

katie

loginpass

technical

backup

exchange

bitch

hello

domain

domainpass

domainpassword

database

Access

dbpass

dbpassword

databasepass

databasepassword

db1234

sqlpassoainstall

orainstall

oracle

cisco

compaq

siemens

nokia

control

Office

blank

winpass

internet

intranet

student

teacher

staff

1.修改注册表:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\Currentversion\Run

"McAfee Antivirus Monitoring System32mn" : VSSTATMN32.EXE

HKEY_CURRENT_USER\Software\Microsoft\Windows

\Currentversion\Run

"Mcafee Antivirus Monitoring System32mn" : VSSTATMN32.EXE

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\Currentversion\RunServices

"Mcafee Antivirus Monitoring System32mn" : VSSTATMN32.EXE

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2004-11-15