Backdoor.Rbot.wp_病毒数据库

病毒名称: Backdoor.Rbot.wp 类别：后门病毒病毒资料：      破坏方法：

    RBot变种。

    集黑客，蠕虫，后门功能于一体。通过局域网共享目录和利用系统漏洞进行传播。

    体内带有弱口令字典，用户如不注意设定密码则系统很容易被攻破。

    写了注册表启动项，每次开机病毒都能启动。

    运行后连接特定IRC服务器的特定频道，接受黑客控制，发送本地信息。

    接收黑客发来的命令在本地执行。并将执行结果发回IRC聊天频道。

    病毒会扫描网段内的机器并猜测共享密码，会占用大量网络带宽资源，容易造成局域网阻塞。

    一、IRC（Internet Relay Chat）连接。

    试图通过"80.53.80.74" 的TCP 1241 端口建立通讯。

    二、文件和注册表

    1. 复制自己到系统目录，命名为“system64.exe”。

    2. 在下列键添加启动项“irda Microsoft driver”使病毒随Windows的启动而自动运行。每隔一分钟进行一次修改。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
    \Currentversion\Run

    HKEY_CURRENT_USER\Software\Microsoft\Windows
    \Currentversion\Run

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
    \Currentversion\RunServices

    3. 修改系统设置。每隔两分钟进行一次修改。

    HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
    \EnableDCOM = N

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Control\Lsa\restrictanonymous = 0x1

    三、监听本地113端口，建立通讯后，接收远程控制命令。可以进行下列控制操作。

    1. 偷用户正版游戏的序列号。

    Command & Conquer Generals 、

    FIFA 2003 、NFSHP2 、SOF2 、
    Soldier of Fortune II - Double Helix
    Battlefield 1942
    Project IGI 2 、Unreal Tournament 2003
    Half-Life

    2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接，把病毒复制过去，并运行起来，进行新的破坏。病毒带有一个密码字典，包含一百多个数字、字母、词汇的简单组合。

    3. 记录键盘输入。通过这种方式可以获得用户的各种密码（Windows登陆、邮箱、论坛、游戏、网络支付等等）。

    4. 发动SYN 攻击，造成指定机器拒绝服务。

    5. 下载文件并运行。往往用作传递新的远程控制程序，进行直接控制。

    6. 终止系统的进程和线程。

    四、病毒频繁的扫描内存进程，终止并禁止反病毒软件的运行。

    五、病毒可以建立一个HTTP、FTP服务器，进行文件上传、下载和运行操作。

    六、病毒使用的字典如下，建议用户一定使用复杂的密码。

    administrator
    administrador
    administrateur
    administrat
    admins
    admin
    staff
    computer
    owner
    student
    teacher
    wwwadmin
    guest
    default
    database
    Oracle
    administrator
    administrador
    administrateur
    administrat
    admins
    admin
    passWord1
    password
    passwd
    pass1234
    12345
    123456
    1234567
    12345678
    123456789
    1234567890
    guest
    Linux
    changeme
    default

    system
    server
    qwerty
    Outlook
    internet
    accounts
    accounting
    homeuser
    oemuser
    oeminstall
    windows
    win98
    win2k
    winXP
    winnt
    win2000
    peter
    susan
    peter
    brian
    chris
    george
    katie
    login
    loginpass
    technical
    backup
    exchange
    bitch
    hello
    domain
    domainpass
    domainpassword
    database
    Access
    dbpass
    dbpassword
    databasepass
    databasepassword
    db1234
    sqlpassoainstall
    orainstall
    oracle
    cisco
    compaq
    siemens
    nokia
    control
    Office
    blank
    winpass
    internet
    intranet
    student
    teacher
    staff

    1.修改注册表:
    1
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
    \Currentversion\Run
    "McAfee Antivirus Monitoring System32mn" : VSSTATMN32.EXE

    2
    HKEY_CURRENT_USER\Software\Microsoft\Windows
    \Currentversion\Run

    "Mcafee Antivirus Monitoring System32mn" : VSSTATMN32.EXE

    3
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
    \Currentversion\RunServices
    "Mcafee Antivirus Monitoring System32mn" : VSSTATMN32.EXE
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：      Windows下的PE病毒。
发现日期： 2004-11-15