词条 | Backdoor.Win32.Rbot.byb |
释义 | 该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。 此 IRC蠕虫病毒建立多个线程监听网络,创建服务器代理,扫描本地网络存在漏洞的主机以感染。 病毒还会截获敏感信息发送出去,从指定服务器下载病毒体到本机运行。受感染用户会被执行任 意程序及发起Ddos攻击。 简介病毒名称: Backdoor.Win32.Rbot.byb 中文名称: Rbot变种 病毒类型: 后门类 文件 MD5: 49958E064B50648207EC1C1787FA3B80 公开范围: 完全公开 危害等级: 4 文件长度: 753,664 字节 感染系统: Win9X以上系统 开发工具: Microsoft Visual C++ 5.0 命名对照: AVG [Trojan horse Dropper.Generic.ISO] ClamAV[Exploit.DCOM.Gen] DrWeb[Trojan.MulDrop.5471] McAfee[MultiDropper-RI] 行为分析1 、衍生下列副本与文件: %WinDir%\\cookie.jpg %WinDir%\\rBot.exe 2 、新建注册表键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ Run\\DRam prosessor Value: String: "rBot.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ RunServices\\DRam prosessor Value: String: "rBot.exe" 3 、修改下列注册表键值,用来标记已感染: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole\\EnableDCOM New: String: "N" Old: String: "Y" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Lsa\\restrictanonymous New: DWORD: 1 (0x1) Old: DWORD: 0 (0) HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\restrictanonymous New: DWORD: 1 (0x1) Old: DWORD: 0 (0) 4 、连接下列 IRC 服务器 , 进行下列操作,包括发送用户信息以及试图下载病毒文件,但由于 服务器已关闭,故无后绪操作: IRC 服务器 :2*6.4*.1*7.3*:6667 PASS random NICK MacAttack9 USER j 0 0 :MacAttack9 USERHOST MacAttack9 MODE MacAttack9 -x+iB JOIN #MoRoN random USERHOST MacAttack9 MODE MacAttack9 -x+iB JOIN #MoRoN random :ragnarokcrystalnet 302 MacAttack9 :MacAttack9=+~j@1e624c7d.38be9aca.2470642c.2486bcaX :MacAttack9 MODE MacAttack9 :+B :MacAttack9!~j@1e624c7d.38be9aca.2470642c.2486bcaX JOIN :#MoRoN :ragnarokcrystalnet 353 MacAttack9 = #MoRoN :MacAttack9 Wilkin0 Kendall1 BiLLioN2 will0 StMartin0 Sinsabaugh1 :ragnarokcrystalnet 366 MacAttack9 #MoRoN :End of /NAMES list. :ragnarokcrystalnet 302 MacAttack9 :MacAttack9=+~j@1e624c7d.38be9aca.2470642c.2486bcaX PING :ragnarokcrystalnet PONG :ragnarokcrystalnet :Wilkin0!~ezk@11813a15.1b415a10.e8a4d95.642f304X QUIT :Ping timeout PING :ragnarokcrystalnet PONG :ragnarok.crystalnet 5 、监听网络,截获敏感的信息: FTP 、 Tftp 密码、电子支付软件密码,如 PayPal 。 6 、创建 SOCKS4 、 Http 代理服务器。 7 、枚举 IRC 软件 (Quarterdeck Global Chat 1.2.9 for Macintosh) 用户的用户名与密码: 密码列表 用户名表 aministrator changeme aministrador default aministrateur system aministrat server amins werty amin outlook saff internet cmputer accounts oner accounting student homeuser teacher oemuser wwwadmin oeminstall guest windows default win98 database win2k oracle winxp administrator winnt administrador win2000 administrateur peter administrat susan admins brian admin chris password1 george password katie passwd login pass1234 loginpass 12345 technical 123456 backup 1234567 exchange 12345678 bitch 123456789 hello 1234567890 domain gest domainpass linux domainpassword 等等 …… 8 、利用的漏洞: · DCOM RPC 漏洞 ( Microsoft Security Bulletin MS03-026 ) using TCP 端口 135. · LSASS 漏洞 ( 描述于Microsoft Security Bulletin MS04-011 ) using TCP 端口 s135, 139 or 445. · Microsoft SQL Server 2000 or MSDE 2000 audit 漏洞 ( 描述于Microsoft Security Bulletin MS02-061 ) 使用 UDP 端口 1434. · WebDav 漏洞 ( 描述于 Microsoft Security Bulletin MS03-007 ) using TCP 端口 80. · UPnP NOTIFY 缓冲区漏洞 ( 描述于Microsoft Security Bulletin MS01-059 ). · Workstation 服务缓冲区 Overrun 漏洞 ( 描述于 Microsoft Security Bulletin MS03-049 ) using TCP 端口 445. Windows XP users are protected against this 漏洞 if the patch in Microsoft Security Bulletin MS03-043 has been applied. Windows 2000 users must apply the patch in Microsoft Security Bulletin MS03-049. · The Microsoft Windows SSL Library Denial of Service 漏洞 ( 描述于 Microsoft Security Bulletin MS04-011 ). · The VERITAS Backup Exec Agent Browser Remote 缓冲区漏洞 (as described here ). · The Microsoft Windows Plug and Play 缓冲区漏洞 ( 描述于 Microsoft Security Bulletin MS05-039 ). · The Microsoft Windows Server Service Remote 缓冲区漏洞 ( 描述于 Microsoft Security Bulletin MS06-040 ). 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 清除方案1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用 安天木马防线 “进程管理”关闭病毒进程: rBot.exe (2) 删除并恢复病毒添加与修改的注册表键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\DRam prosessor Value: String: "rBot.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\RunServices\\DRam prosessor Value: String: "rBot.exe" (3) 删除病毒释放文件: %WinDir%\\cookie.jpg %WinDir%\\rBot.exe |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。