病毒屬性
病毒名稱: Backdoor.Win32.Rbot.ang中文名稱: Variant of Rbot
病毒類型: Backdoor
檔案 MD5: DDC06530197F002D94665D41F38AE974
公開範圍: Wide-distribution
危害等級: Medium
檔案長度:90,860 bytes
感染系統: windows 98 and above
開發工具: Microsoft Visual C++
加殼類型: Unknown
命名對照:Symentec[w32.spybot.worm]
Mcafee[W32/Sdbot.worm.gen.h]
病毒描述:
該病毒屬後門類,為Rbot家族變種,該病毒家族的傳播方式主要為:利用微軟漏洞及網路共享。病毒運行後複製自身到%System%zlt32.exe下,修改註冊表檔案,達到隨系統啟動的目的。病毒運行後會在用戶不知情的狀態下連線到某些IRC信道,等待惡意用戶的連線,並接受惡意操作,如上傳、下載、刪除、執行任意檔案等。該病毒對用戶有一定的危害。
行為分析
1、病毒運行後複製自身到:%System%zlt32.exe
2、修改註冊表檔案:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\Microsoft Update = "ZLT32.EXE"
HKEY_LOCAN_METHINE\Software\Microsoft\Windows
\CurrentVersion\Run\Microsoft Update = "ZLT32.EXE"
HKEY_LOCAN_METHINE \Software\Microsoft\Windows
\CurrentVersion\RunServices\Microsoft Update = "ZLT32.EXE"
3、連線到某些IRC信道,等待並接受惡意用戶的連線及惡意操作。
4、病毒利用微軟漏洞及網路共享傳播。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%System%zlt32.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\Microsoft Update = "ZLT32.EXE"
HKEY_LOCAN_METHINE\Software\Microsoft\Windows
\CurrentVersion\Run\Microsoft Update = "ZLT32.EXE"
HKEY_LOCAN_METHINE \Software\Microsoft\Windows
\CurrentVersion\RunServices\Microsoft Update = "ZLT32.EXE"
