Backdoor.Rbot.afo

病毒名称:

Backdoor.Rbot.afo

类别： 后门病毒

病毒资料：

破坏方法：

Rbot病毒变种。是一种IRC后门。集黑客，蠕虫，后门功能于一体。

通过局域网共享目录和利用系统漏洞进行传播。体内带有弱口令字典，用户如不注意设定密码则系统很容易被攻破。

将自己拷贝到系统目录下，文件名为Win32updt.exe。

写了注册表启动项

HKLM\Software\Microsoft\Windows

\CurrentVersion\Run

Microsoft Update Service = Win32updt.exe

HKLM\Software\Microsoft\Windows

\CurrentVersion\RunServices

Microsoft Update Service = Win32updt.exe

这样，每次开机病毒都能启动。

病毒创建名称为"[HM]"的互斥量保证只有一个病毒实例在运行。

监听本地113号TCP端口，等待连接，实现后门功能。

病毒不断遍历进程，结束下列程序：

i11r54n4.exe，

irun4.exe，

d3dupdate.exe，

rate.exe，

ssate.exe，

winsys.exe，

winupd.exe，

SysMonXP.exe，

bbeagle.exe，

Penis32.exe，

mscvb32.exe，

sysinfo.exe，

PandaAVEngine.exe，

AGOBOT.EXE，

HIJACKTHIS.EXE，

_AVPM.EXE，

_AVPCC.EXE，

_AVP32.EXE，

ZONEALARM.EXE，

ZONALM2601.EXE，

ZATUTOR.EXE，

ZAPSETUP3001.EXE，

ZAPRO.EXE，

XPF202EN.EXE，

WYVERNWORKSFIREWALL.EXE，

WUPDT.EXE，

WUPDATER.EXE，

WSBGATE.EXE，

WRCTRL.EXE，

WRADMIN.EXE，

WNT.EXE，

WNAD.EXE....

多数为反病毒程序和防火墙程序。

连接特定IRC服务器的特定频道，接受黑客控制，发送本地系统信息。接收黑客发来的命令在本地执行。并将执行结果发回IRC聊天频道。

病毒会扫描网段内的机器并猜测共享密码，会占用大量网络带宽资源，容易造成局域网阻塞。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2005-1-7