Backdoor.Rbot.ahv

王朝other·作者佚名 2008-05-31

宽屏版字体: 小|中|大|超大

病毒名称:

Backdoor.Rbot.ahv

类别：后门病毒

病毒资料：

破坏方法：

Rbot病毒变种。是一种IRC后门。集黑客，蠕虫，后门功能于一体。

通过局域网共享目录和利用系统漏洞进行传播。体内带有弱口令字典，用户如不注意设定密码则系统很容易被攻破。

将自己拷贝到系统目录下，文件名为wuacclt.exe。

写了注册表启动项

HKLM\Software\Microsoft\Windows

\CurrentVersion\Run

*windowsupdate = wuacclt.exe

HKCU\Software\Microsoft\Windows

\CurrentVersion\Run

*windowsupdate = wuacclt.exe

HKLM\Software\Microsoft\Windows

\CurrentVersion\RunServices

*windowsupdate = wuacclt.exe

HKCU\Software\Microsoft\Windows

\CurrentVersion\Policies\EXPlorer\Run

*windowsupdate = wuacclt.exe

HKLM\Software\Microsoft\Windows

\CurrentVersion\Policies\Explorer\Run

*windowsupdate = wuacclt.exe

这样，每次开机病毒都能启动。

运行后每隔30秒检查一次网络连接状况，如可以连接到internet，则连接特定IRC服务器的特定频道，接受黑客控制，发送本地系统信息。接收黑客发来的命令在本地执行。并将执行结果发回IRC聊天频道。黑客几乎可以完全控制受感染机器。

通过猜密码传播，体内一些候选密码包括：

intranet，winpass，blank，Office，control，nokia，siemens，compaq，cisco，orainstall，sqlpassoainstall，db1234，databasepassWord，databasepass，dbpassword，dbpass，Access，domainpassword，domainpass，domain，hello，bitch，exchange，backup，technical...

病毒扫描网段内的机器的时候会占用大量网络带宽资源，容易造成局域网阻塞。

病毒出于保护肉鸡目的会取消系统匿名登陆功能，这样，局域网访问必须提供用户名和密码，要恢复可手工将注册表值HKLM\SYSTEM\CurrentControlSet\Control

\Lsa\restrictanonymous改为0。

病毒还禁用DCOM功能，使系统免受RPC漏洞影响，要恢复可手工将注册表值

HKLM\Software\Microsoft\Ole\EnableDCOM改为"Y"。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2005-1-19