簡介
病毒名稱: Backdoor.Win32.Rbot.byb
中文名稱: Rbot變種
病毒類型: 後門類
檔案 MD5: 49958E064B50648207EC1C1787FA3B80
公開範圍: 完全公開
危害等級: 4
檔案長度: 753,664 位元組
感染系統: Win9X以上系統
開發工具: Microsoft Visual C++ 5.0
命名對照: AVG [Trojan horse Dropper.Generic.ISO] ClamAV[Exploit.DCOM.Gen]
DrWeb[Trojan.MulDrop.5471] McAfee[MultiDropper-RI]
行為分析
1 、衍生下列副本與檔案:
%WinDir%\cookie.jpg
%WinDir%\rBot.exe
2 、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\DRam prosessor
Value: String: "rBot.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices\DRam prosessor
Value: String: "rBot.exe"
3 、修改下列註冊表鍵值,用來標記已感染:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM
New: String: "N"
Old: String: "Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
4 、連線下列 IRC 伺服器 , 進行下列操作,包括傳送用戶信息以及試圖下載病毒檔案,但由於
伺服器已關閉,故無後緒操作:
IRC 伺服器 :2*6.4*.1*7.3*:6667
PASS random
NICK MacAttack9
USER j 0 0 :MacAttack9
USERHOST MacAttack9
MODE MacAttack9 -x+iB
JOIN #MoRoN random
USERHOST MacAttack9
MODE MacAttack9 -x+iB
JOIN #MoRoN random
:ragnarokcrystalnet 302 MacAttack9
:MacAttack9 MODE MacAttack9 :+B
:[email protected] JOIN :#MoRoN
:ragnarokcrystalnet 353 MacAttack9 = #MoRoN :MacAttack9 Wilkin0
Kendall1 BiLLioN2 will0 StMartin0 Sinsabaugh1
:ragnarokcrystalnet 366 MacAttack9 #MoRoN :End of /NAMES list.
:ragnarokcrystalnet 302 MacAttack9
PING :ragnarokcrystalnet
PONG :ragnarokcrystalnet
:[email protected] QUIT :Ping timeout
PING :ragnarokcrystalnet
PONG :ragnarok.crystalnet
5 、監聽網路,截獲敏感的信息:
FTP 、 Tftp 密碼、電子支付軟體密碼,如 PayPal 。
6 、創建 SOCKS4 、 Http 代理伺服器。
7 、枚舉 IRC 軟體 (Quarterdeck Global Chat 1.2.9 for Macintosh) 用戶的用戶名與密碼:
密碼列表 用戶名表
aministrator changeme
aministrador default
aministrateur system
aministrat server
amins werty
amin outlook
saff internet
cmputer accounts
oner accounting
student homeuser
teacher oemuser
wwwadmin oeminstall
guest windows
default win98
database win2k
oracle winxp
administrator winnt
administrador win2000
administrateur peter
administrat susan
admins brian
admin chris
password1 george
password katie
passwd login
pass1234 loginpass
12345 technical
123456 backup
1234567 exchange
12345678 bitch
123456789 hello
1234567890 domain
gest domainpass
linux domainpassword
等等 ……
8 、利用的漏洞:
· DCOM RPC 漏洞 ( Microsoft Security Bulletin MS03-026 ) using TCP 連線埠 135.
· LSASS 漏洞 ( 描述於Microsoft Security Bulletin MS04-011 ) using TCP
連線埠 s135, 139 or 445.
· Microsoft SQL Server 2000 or MSDE 2000 audit 漏洞
( 描述於Microsoft Security Bulletin MS02-061 ) 使用 UDP 連線埠 1434.
· WebDav 漏洞 ( 描述於 Microsoft Security Bulletin MS03-007 ) using TCP
連線埠 80.
· UPnP NOTIFY 緩衝區漏洞 ( 描述於Microsoft Security Bulletin MS01-059 ).
· Workstation 服務緩衝區 Overrun 漏洞 ( 描述於 Microsoft Security Bulletin
MS03-049 ) using TCP 連線埠 445. Windows XP users are protected against this
漏洞 if the patch in Microsoft Security Bulletin MS03-043 has been applied.
Windows 2000 users must apply the patch in Microsoft Security Bulletin
MS03-049.
· The Microsoft Windows SSL Library Denial of Service 漏洞
( 描述於 Microsoft Security Bulletin MS04-011 ).
· The VERITAS Backup Exec Agent Browser Remote 緩衝區漏洞
(as described here ).
· The Microsoft Windows Plug and Play 緩衝區漏洞
( 描述於 Microsoft Security Bulletin MS05-039 ).
· The Microsoft Windows Server Service Remote 緩衝區漏洞
( 描述於 Microsoft Security Bulletin MS06-040 ).
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用 安天木馬防線 “進程管理”關閉病毒進程:
rBot.exe
(2) 刪除並恢復病毒添加與修改的註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\DRam prosessor
Value: String: "rBot.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices\DRam prosessor
Value: String: "rBot.exe"
(3) 刪除病毒釋放檔案:
%WinDir%\cookie.jpg
%WinDir%\rBot.exe
