Backdoor.Rbot.afu

病毒名称:

Backdoor.Rbot.afu

类别： 后门病毒

病毒资料：

破坏方法：

IRC后门程序

病毒采用VC编写，"MEW v1.x"压缩。

病毒运行后有以下行为：

一、将自己复制到％SYSDIR％目录下，文件名为"winlogout.exe"。

二、修改注册表以下键值，以达到其自启动的目的：

1.HKEY_LOCAL_MACHINE\Software\Microsoft

\Windows\Currentversion\Run

增加数据项："Yahoo Instant Mess"

数据值为："WINLOGOUT.EXE"

2.HKEY_CURRENT_USER\Software\Microsoft

\Windows\Currentversion\Run

增加数据项："Yahoo Instant Mess"

数据值为："WINLOGOUT.EXE"

3.HKEY_LOCAL_MACHINE\Software\Microsoft

\Windows\Currentversion\RunServices

增加数据项："Yahoo Instant Mess"

数据值为："WINLOGOUT.EXE"

三、创建名为"640"的互斥量以确保内存中只有一个病毒文件在运行。

四、使用病毒体内的密码字典猜测网络中其他计算机的IPC用户名及密码，以下为病毒试图猜测的用户名：

"administrador"、

"administrateur"、

"administrat"、

"admins"、

"admin"、

"staff"、

"root"、

"computer"、

"owner"、

"student"、

"teacher"、

"wwwadmin"、

"guest"、

"default"、

"database"、

"dba"、

"Oracle"、

"db2"

(所使用的密码字典由于篇幅太多，所以无法全部列举)

如果登录成功，病毒将会把自己复制到该计算机的％SYSDIR％目录下。

五、连接指定的IRC服务器，并以特定的昵称加入指定的IRC频道，为其控制端提供以下远程控制服务：

1.查看本地计算机的系统信息；

2.结束本地计算机所运行进程；

3.对指定IP的计算机进行拒绝服务攻击；

4.下载指定的文件；

5.记录本地计算机用户的键盘操作信息；

6.窃取本地计算机中游戏软件的CD-KEY。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2005-1-11