名稱
Backdoor/RBot.alr中 文 名:“羅伯特”變種alr
病毒長度:可變
病毒類型:後門影響平台:Win 9x/2000/XP/NT/Me/2003
7月20日,江民反病毒中心率先截獲 “羅伯特”新變種alr,該病毒不僅可以盜取用戶各大網上銀行帳號密碼,就連易趣、paypal等網上線上交易帳號也不放過,危害甚大。
Backdoor/RBot.alr“羅伯特”變種alr是蠕蟲Backdoor/RBot變種之一。它利用KazaA共享程式及mIRC聊天室進行傳播。該蠕蟲不僅傳播給已經感染後門的用戶計算機,而且利用弱口令進行網路共享傳播。它通過連線到可組態的IRC伺服器和黑客指定站點執行多種後門功能。新變種利用漏洞補丁MS03-026、漏洞補丁MS04-011、漏洞補丁MS03-049(Windows 2000等微軟漏洞進行傳播。
特徵
1、自我複製到系統目錄下,該變種可能以下列檔案名稱出現Bling.exe
Netwmon.exe
Wuamgrd.exe
2.、在KazaA上創建已分享檔案夾,修改註冊表,在註冊表項添加鍵值:"dir0" = "012345:【組態路徑】",並以可變的檔案名稱的方式複製到指定的路徑下,誘導其他用戶下載並運行該後門,導致對指定的伺服器進行拒絕服務攻擊 DoS,按照設定該蠕蟲還能終止某些與安全相關的進程。
3、連線到特定IRC伺服器並接收命令:
掃描有漏洞的計算機
下載或者上傳升級檔案
列表或終止運行中的進程
盜取緩衝區中的密碼
記錄鍵擊,盜取網銀或線上交易等指定視窗內輸入的信息,特別是當這些Windows 的視窗的標題包含bank、login、e-bay 、ebay 、paypal等字元串時,並將盜取的信息傳送到IRC伺服器。
