病毒名称：Backdoor/RBot.alr

中 文 名：“罗伯特”变种alr

病毒长度：可变

病毒类型：后门

影响平台：Win 9x/2000/XP/NT/Me/2003

7月20日，江民反病毒中心率先截获 “罗伯特”新变种alr，该病毒不仅可以盗取用户各大网上银行帐号密码，就连易趣、paypal等网上在线交易帐号也不放过，危害甚大。

Backdoor/RBot.alr“罗伯特”变种alr是蠕虫Backdoor/RBot变种之一。它利用KazaA共享程序及mIRC聊天室进行传播。该蠕虫不仅传播给已经感染后门的用户计算机，而且利用弱口令进行网络共享传播。它通过连接到可组态的IRC服务器和黑客指定站点执行多种后门功能。新变种利用漏洞补丁MS03-026、漏洞补丁MS04-011、漏洞补丁MS03-049(Windows 2000等微软漏洞进行传播。

病毒具体技术特征如下：

1、自我复制到系统目录下，该变种可能以下列文件名出现

Bling.exe

Netwmon.exe

Wuamgrd.exe

2.、在KazaA上创建共享文件夹，修改注册表，在注册表项添加键值："dir0" = "012345:[组态路径]"，并以可变的文件名的方式复制到指定的路径下，诱导其他用户下载并运行该后门，导致对指定的服务器进行拒绝服务攻击 DoS，按照设置该蠕虫还能终止某些与安全相关的进程。

3、连接到特定IRC服务器并接收命令：

扫描有漏洞的计算机

下载或者上传升级文件

列表或终止运行中的进程

盗取缓冲区中的密码

记录键击，盗取网银或在线交易等指定窗口内输入的信息，特别是当这些Windows 的窗口的标题包含bank、login、e-bay 、ebay 、paypal等字符串时，并将盗取的信息发送到IRC服务器。