病毒名称:
Backdoor.Rbot.dh
类别: 后门病毒
病毒资料:
破坏方法:
Backdoor.Rbot病毒变种,使用VC++编写,病毒体很庞大,功能较多。
运行后将自己拷贝到系统目录,文件名为dosprmwin.exe。然后删除自身。
在注册表
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
下添加启动项,使自己能随着开机自启动。
运行后监听113号端口等待远程控制端连接。
通过各种漏洞传播自身,如:WebDav,DCom,lsass,MSSQL,本身附带了还有IPC弱口令字典,可猜
测共享密码,对局域网危害很大。
病毒同时是一个IRC后门,运行后连接特定IRC频道,等待控制方发来命令。
盗取游戏CD Key,如Soldier of Fortune II - Double Helix,Hidden & Dangerous 2,
Red Alert 2,Tiberian Sun,Rainbow Six III RavenShield,Nascar Racing 2003,
Nascar Racing 2002,NHL 2003,FIFA 2003,FIFA 2002,Shogun: Total War: Warlord Edition,
Need For Speed: Underground,Need For Speed Hot Pursuit 2,Medal of Honor: Allied
Assault: Spearhead,
Medal of Honor: Allied Assault,James Bond 007: Nightfire,Global Operations,
Command and Conquer: Generals,Black and White,Battlefield Vietnam,IGI 2: Covert
Strike
Battlefield 1942 (Secret Weapons of WWII),Battlefield 1942 (Road To Rome),Half-
Life.........
遍历进程,查找并结束以下进程:regedit.exe,msconfig.exe,netstat.exe,msblast.exe,
zapro.exe,
navw32.exe,navapw32.exe,zonealarm.exe,wincfg32.exe,taskmon.exe,PandaAVEngine.exe,
sysinfo.exe,mscvb32.exe,MSBLAST.exe,teekids.exe,Penis32.exe,bbeagle.exe,
SysMonXP.exe,
winupd.exe,winsys.exe,ssate.exe。
这些进程中有些是Windows自带的诊断工具,有些是杀毒软件,也有像冲击波,恶鹰这样的病毒进程。
后门受到指挥后可以发动SYN攻击,造成指定机器拒绝服务。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-7-20
|
