Backdoor.Win32.Rbot.byb

病毒名稱： Backdoor.Win32.Rbot.byb

中文名稱： Rbot變種

病毒類型： 後門類

檔案 MD5： 49958E064B50648207EC1C1787FA3B80

公開範圍： 完全公開

危害等級： 4

檔案長度： 753,664 位元組

感染系統： Win9X以上系統

開發工具： Microsoft Visual C++ 5.0

命名對照： AVG [Trojan horse Dropper.Generic.ISO] ClamAV[Exploit.DCOM.Gen]

DrWeb[Trojan.MulDrop.5471] McAfee[MultiDropper-RI]

1 、衍生下列副本與檔案：

%WinDir%\cookie.jpg

%WinDir%\rBot.exe

2 、新建註冊表鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Run\DRam prosessor

Value: String: "rBot.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunServices\DRam prosessor

Value: String: "rBot.exe"

3 、修改下列註冊表鍵值，用來標記已感染：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM

New: String: "N"

Old: String: "Y"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

4 、連線下列 IRC 伺服器 , 進行下列操作，包括傳送用戶信息以及試圖下載病毒檔案，但由於

伺服器已關閉，故無後緒操作：

IRC 伺服器 :2*6.4*.1*7.3*:6667

PASS random

NICK MacAttack9

USER j 0 0 :MacAttack9

USERHOST MacAttack9

MODE MacAttack9 -x+iB

JOIN #MoRoN random

USERHOST MacAttack9

MODE MacAttack9 -x+iB

JOIN #MoRoN random

:ragnarokcrystalnet 302 MacAttack9

:[email protected]

:MacAttack9 MODE MacAttack9 :+B

:[email protected] JOIN :#MoRoN

:ragnarokcrystalnet 353 MacAttack9 = #MoRoN :MacAttack9 Wilkin0

Kendall1 BiLLioN2 will0 StMartin0 Sinsabaugh1

:ragnarokcrystalnet 366 MacAttack9 #MoRoN :End of /NAMES list.

:ragnarokcrystalnet 302 MacAttack9

:[email protected]

PING :ragnarokcrystalnet

PONG :ragnarokcrystalnet

:[email protected] QUIT :Ping timeout

PING :ragnarokcrystalnet

PONG :ragnarok.crystalnet

5 、監聽網路，截獲敏感的信息：

FTP 、 Tftp 密碼、電子支付軟體密碼，如 PayPal 。

6 、創建 SOCKS4 、 Http 代理伺服器。

7 、枚舉 IRC 軟體 (Quarterdeck Global Chat 1.2.9 for Macintosh) 用戶的用戶名與密碼：

密碼列表 　用戶名表

aministrator　 changeme

aministrador 　default

aministrateur 　 system

aministrat 　server

amins　werty

amin 　outlook

saff 　internet

cmputer 　 accounts

oner 　accounting

student 　 homeuser

teacher 　 oemuser

wwwadmin 　oeminstall

guest　windows

default 　 win98

database 　win2k

oracle 　winxp

administrator 　 winnt

administrador 　 win2000

administrateur 　peter

administrat 　 susan

admins 　brian

admin 　 chris

password1 　 george

password 　katie

passwd 　login

pass1234 　loginpass

12345 　 technical

123456　 backup

1234567　exchange

12345678 　bitch

123456789 　 hello

1234567890 　domain

gest 　domainpass

linux 　 domainpassword

等等 ……

8 、利用的漏洞：

· DCOM RPC 漏洞 ( Microsoft Security Bulletin MS03-026 ) using TCP 連線埠 135.

· LSASS 漏洞 ( 描述於Microsoft Security Bulletin MS04-011 ) using TCP

連線埠 s135, 139 or 445.

· Microsoft SQL Server 2000 or MSDE 2000 audit 漏洞

( 描述於Microsoft Security Bulletin MS02-061 ) 使用 UDP 連線埠 1434.

· WebDav 漏洞 ( 描述於 Microsoft Security Bulletin MS03-007 ) using TCP

連線埠 80.

· UPnP NOTIFY 緩衝區漏洞 ( 描述於Microsoft Security Bulletin MS01-059 ).

· Workstation 服務緩衝區 Overrun 漏洞 ( 描述於 Microsoft Security Bulletin

MS03-049 ) using TCP 連線埠 445. Windows XP users are protected against this

漏洞 if the patch in Microsoft Security Bulletin MS03-043 has been applied.

Windows 2000 users must apply the patch in Microsoft Security Bulletin

MS03-049.

· The Microsoft Windows SSL Library Denial of Service 漏洞

( 描述於 Microsoft Security Bulletin MS04-011 ).

· The VERITAS Backup Exec Agent Browser Remote 緩衝區漏洞

(as described here ).

· The Microsoft Windows Plug and Play 緩衝區漏洞

( 描述於 Microsoft Security Bulletin MS05-039 ).

· The Microsoft Windows Server Service Remote 緩衝區漏洞

( 描述於 Microsoft Security Bulletin MS06-040 ).

註： % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 ， windows95/98/me 中默認的安裝路徑是 C:\Windows\System ， windowsXP 中默認的安裝路徑是 C:\Windows\System32 。

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )

2 、 手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用 安天木馬防線 “進程管理”關閉病毒進程：

rBot.exe

(2) 刪除並恢復病毒添加與修改的註冊表鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run\DRam prosessor

Value: String: "rBot.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\RunServices\DRam prosessor

Value: String: "rBot.exe"

(3) 刪除病毒釋放檔案：

%WinDir%\cookie.jpg

%WinDir%\rBot.exe