Win32.Troj.RBot.Ge

病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

病毒行为:

编写工具:VC6.0

传染条件:

这种蠕虫病毒通过网络共享进行传播，使用一个硬编码形式的弱密码登陆目标系统，在可访问的系统上产生自身的拷贝。

该病毒利用如下漏洞：

Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) 漏洞

SQL Server 2000 中的缓冲区溢出漏洞

IIS5/WEBDAV 缓冲区溢出

以下是微软对这些漏洞公布的信息：

Microsoft Security Bulletin MS03-026

Microsoft Security Bulletin MS02-061

Microsoft Security Bulletin MS03-007

发作条件:

系统修改:

A、在注册表主键：

在注册表主键"HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun"下，

添加如下键值："Microsoft Update"="mswudp32.exe"

在注册表主键"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"下，

添加如下键值："Microsoft Update"="mswudp32.exe"

在注册表主键"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices"下，

添加如下键值："Microsoft Update"="mswudp32.exe"

B、在系统目录下添加以下文件：

%SYSTEM%mswupd32.exe

C、创建一个名为"owndrx01"的互斥体，只允许它的一个实列来运行

发作现象:

特别说明:

A、该病毒会利用以下的的帐号和弱口令来尝试登录目标系统：

帐号：

administrador

administrateur

administrat

admins

admin

staff

root

computer

owner

student

teacher

wwwadmin

guest_0

default

database

dba

oracle

db2

口令：

administrator

administrador

administrateur

administrat

admins

admin

adm

password1

password

passwd

pass1234

pass

pwd

007

1

12

123

1234

12345

123456

1234567

12345678

123456789

1234567890

2000

2001

2002

2003

2004

test

guest

none

demo

unix

linux

changeme

default

system

server

root

null

qwerty

mail

outlook

web

www

internet

accounts

accounting

home

homeuser

user

oem

oemuser

oeminstall

windows

win98

win2k

winxp

winnt

win2000

qaz

asd

zxc

qwe

bob

jen

joe

fred

bill

mike

john

peter

luke

sam

sue

susan

peter

brian

lee

neil

ian

chris

eric

george

kate

bob

katie

mary

login

loginpass

technical

backup

exchange

fuck

bitch

slut

sex

god

hell

hello

domain

domainpass

domainpassword

database

access

dbpass

dbpassword

databasepass

data

databasepassword

db1

db2

db1234

sa

sql

sqlpassoainstall

orainstall

oracle

ibm

cisco

dell

compaq

siemens

hp

nokia

xp

control

office

blank

winpass

main

lan

internet

intranet

student

teacher

staff

B、该病毒还具有后门功能。它会开放一个端口，等待远程恶意用户的指令。

这些指令可以是恶意用户实现以下操作：

下载病毒自身的更新版本

下载并执行文件

访问一个特殊的网站

发动SYN和ICMP洪发攻击

重启系统

窃取系统信息

使网络共享失效

打开并执行文件

执行与IRC相关的功能

C、该病毒还会窃取某些游戏软件的CD码。

会被它窃取CD码的游戏软件有：

CounterStrike

Counter-Strike (Retail)

The Gladiators

Gunman Chronicles

Half-Life

Industry Giant 2

Legends of Might and Magic

Soldiers Of Anarchy

Unreal Tournament 2003

Unreal Tournament 2004

IGI 2: Covert Strike

Freedom Force

Battlefield 1942

Battlefield 1942 (Road To Rome)

Battlefield 1942 (Secret Weapons of WWII)

Battlefield Vietnam

Black and White

Command and Conquer: Generals (Zero Hour)

James Bond 007: Nightfire

Command and Conquer: Generals

Global Operations

Medal of Honor: Allied Assault

Medal of Honor: Allied Assault: Breakthrough

Medal of Honor: Allied Assault: Spearhead

Need For Speed Hot Pursuit 2

Need For Speed: Underground

Shogun: Total War: Warlord Edition

FIFA 2002

FIFA 2003

NHL 2002

NHL 2003

Nascar Racing 2002

Nascar Racing 2003

Rainbow Six III RavenShield

Command and Conquer: Tiberian Sun

Command and Conquer: Red Alert

Command and Conquer: Red Alert 2

Chrome

Hidden & Dangerous 2

Soldier of Fortune II - Double Helix

Neverwinter Nights

Neverwinter Nights (Shadows of Undrentide)

D、它还会对目标网站发动拒绝式服务攻击。