请输入您要查询的百科知识:

 

词条 Backdoor.Win32.Rbot.byb
释义

该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。 此 IRC蠕虫病毒建立多个线程监听网络,创建服务器代理,扫描本地网络存在漏洞的主机以感染。 病毒还会截获敏感信息发送出去,从指定服务器下载病毒体到本机运行。受感染用户会被执行任 意程序及发起Ddos攻击。

简介

病毒名称: Backdoor.Win32.Rbot.byb

中文名称: Rbot变种

病毒类型: 后门类

文件 MD5: 49958E064B50648207EC1C1787FA3B80

公开范围: 完全公开

危害等级: 4

文件长度: 753,664 字节

感染系统: Win9X以上系统

开发工具: Microsoft Visual C++ 5.0

命名对照: AVG [Trojan horse Dropper.Generic.ISO] ClamAV[Exploit.DCOM.Gen]

DrWeb[Trojan.MulDrop.5471] McAfee[MultiDropper-RI]

行为分析

1 、衍生下列副本与文件:

%WinDir%\\cookie.jpg

%WinDir%\\rBot.exe

2 、新建注册表键值:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\

Run\\DRam prosessor

Value: String: "rBot.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\

RunServices\\DRam prosessor

Value: String: "rBot.exe"

3 、修改下列注册表键值,用来标记已感染:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole\\EnableDCOM

New: String: "N"

Old: String: "Y"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Lsa\\restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

4 、连接下列 IRC 服务器 , 进行下列操作,包括发送用户信息以及试图下载病毒文件,但由于

服务器已关闭,故无后绪操作:

IRC 服务器 :2*6.4*.1*7.3*:6667

PASS random

NICK MacAttack9

USER j 0 0 :MacAttack9

USERHOST MacAttack9

MODE MacAttack9 -x+iB

JOIN #MoRoN random

USERHOST MacAttack9

MODE MacAttack9 -x+iB

JOIN #MoRoN random

:ragnarokcrystalnet 302 MacAttack9

:MacAttack9=+~j@1e624c7d.38be9aca.2470642c.2486bcaX

:MacAttack9 MODE MacAttack9 :+B

:MacAttack9!~j@1e624c7d.38be9aca.2470642c.2486bcaX JOIN :#MoRoN

:ragnarokcrystalnet 353 MacAttack9 = #MoRoN :MacAttack9 Wilkin0

Kendall1 BiLLioN2 will0 StMartin0 Sinsabaugh1

:ragnarokcrystalnet 366 MacAttack9 #MoRoN :End of /NAMES list.

:ragnarokcrystalnet 302 MacAttack9

:MacAttack9=+~j@1e624c7d.38be9aca.2470642c.2486bcaX

PING :ragnarokcrystalnet

PONG :ragnarokcrystalnet

:Wilkin0!~ezk@11813a15.1b415a10.e8a4d95.642f304X QUIT :Ping timeout

PING :ragnarokcrystalnet

PONG :ragnarok.crystalnet

5 、监听网络,截获敏感的信息:

FTP 、 Tftp 密码、电子支付软件密码,如 PayPal 。

6 、创建 SOCKS4 、 Http 代理服务器。

7 、枚举 IRC 软件 (Quarterdeck Global Chat 1.2.9 for Macintosh) 用户的用户名与密码:

密码列表 用户名表

aministrator changeme

aministrador default

aministrateur system

aministrat server

amins werty

amin outlook

saff internet

cmputer accounts

oner accounting

student homeuser

teacher oemuser

wwwadmin oeminstall

guest windows

default win98

database win2k

oracle winxp

administrator winnt

administrador win2000

administrateur peter

administrat susan

admins brian

admin chris

password1 george

password katie

passwd login

pass1234 loginpass

12345 technical

123456 backup

1234567 exchange

12345678 bitch

123456789 hello

1234567890 domain

gest domainpass

linux domainpassword

等等 ……

8 、利用的漏洞:

· DCOM RPC 漏洞 ( Microsoft Security Bulletin MS03-026 ) using TCP 端口 135.

· LSASS 漏洞 ( 描述于Microsoft Security Bulletin MS04-011 ) using TCP

端口 s135, 139 or 445.

· Microsoft SQL Server 2000 or MSDE 2000 audit 漏洞

( 描述于Microsoft Security Bulletin MS02-061 ) 使用 UDP 端口 1434.

· WebDav 漏洞 ( 描述于 Microsoft Security Bulletin MS03-007 ) using TCP

端口 80.

· UPnP NOTIFY 缓冲区漏洞 ( 描述于Microsoft Security Bulletin MS01-059 ).

· Workstation 服务缓冲区 Overrun 漏洞 ( 描述于 Microsoft Security Bulletin

MS03-049 ) using TCP 端口 445. Windows XP users are protected against this

漏洞 if the patch in Microsoft Security Bulletin MS03-043 has been applied.

Windows 2000 users must apply the patch in Microsoft Security Bulletin

MS03-049.

· The Microsoft Windows SSL Library Denial of Service 漏洞

( 描述于 Microsoft Security Bulletin MS04-011 ).

· The VERITAS Backup Exec Agent Browser Remote 缓冲区漏洞

(as described here ).

· The Microsoft Windows Plug and Play 缓冲区漏洞

( 描述于 Microsoft Security Bulletin MS05-039 ).

· The Microsoft Windows Server Service Remote 缓冲区漏洞

( 描述于 Microsoft Security Bulletin MS06-040 ).

注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

清除方案

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用 安天木马防线 “进程管理”关闭病毒进程:

rBot.exe

(2) 删除并恢复病毒添加与修改的注册表键值:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run\\DRam prosessor

Value: String: "rBot.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\RunServices\\DRam prosessor

Value: String: "rBot.exe"

(3) 删除病毒释放文件:

%WinDir%\\cookie.jpg

%WinDir%\\rBot.exe

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/1/11 15:26:14