Backdoor.Rbot.ahi

2008-02-23 09:04:50来源：互联网阅读 ()

病毒名称: Backdoor.Rbot.ahi 类别：后门病毒病毒资料：破坏方法：

破坏方法：IRC后门程序

病毒采用VC编写，"Stealth 1.2"压缩。

病毒运行后有以下行为：

一、将自己复制到％SYSDIR％目录下，文件名为"microsof.exe"。
文件属性被设置为隐藏、系统和只读。

二、修改注册表以下键值，以达到其自启动的目的：

1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加数据项："IEXPlorer"
数据值为："MICROSOFT.EXE"

2.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\Run
增加数据项："IExplorer"
数据值为："MICROSOFT.EXE"

3.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\RunServices
增加数据项："IExplorer"
数据值为："MICROSOFT.EXE"

三、创建名为"IExplorer"的互斥量以确保内存中只有一个病毒程序在运行。

四、使用病毒体内的密码字典猜测网络中其他计算机的IPC用户名及密码，以下为病毒试图猜测的用户名：

"administrador"、
"administrateur"、
"administrat"、
"admins"、
"admin"、
"staff"、
"root"、
"computer"、
"owner"、
"student"、
"teacher"、
"wwwadmin"、
"guest"、
"default"、
"database"、
"dba"、
"Oracle"、
"db2"

(所使用的密码字典由于篇幅太多，所以无法全部列举)
如果登录成功，病毒将会把自己复制到该计算机的％SYSDIR％目录下。

病毒会扫描网段内的机器，会占用大量网络带宽资源，容易造成局域网阻塞。

五、连接指定的IRC服务器（l33t.wo0t.net），并以特定的昵称加入指定的IRC频道，为其控制端提供以下远程控制服务：

1.查看本地计算机的系统信息；
2.结束本地计算机所运行进程；
3.对指定IP的计算机进行拒绝服务攻击；
4.下载指定的文件；
5.记录本地计算机用户的键盘操作信息；
6.窃取本地计算机中游戏软件的CD-KEY。

六、监听本地113端口，等待远程连接。

七、会利用“恶鹰”的漏洞和“WebDav”漏洞进行攻击传播。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2005-1-18

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有