Backdoor.Win32.Rbot.byb

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

病毒名称： Backdoor.Win32.Rbot.byb

中文名称： Rbot变种

病毒类型：后门类

文件 MD5： 49958E064B50648207EC1C1787FA3B80

公开范围：完全公开

危害等级： 4

文件长度： 753,664 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual C++ 5.0

命名对照： AVG [Trojan horse Dropper.Generic.ISO] ClamAV[Exploit.DCOM.Gen]

DrWeb[Trojan.MulDrop.5471] McAfee[MultiDropper-RI]

病毒描述：

该病毒运行后，衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。

此 IRC蠕虫病毒建立多个线程监听网络，创建服务器代理，扫描本地网络存在漏洞的主机以感染。

病毒还会截获敏感信息发送出去，从指定服务器下载病毒体到本机运行。受感染用户会被执行任

意程序及发起Ddos攻击。

行为分析：

1 、衍生下列副本与文件：

%WinDir%cookie.jpg

%WinDir%

Bot.exe

2 、新建注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

RunDRam prosessor

Value: String: "rBot.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

RunServicesDRam prosessor

Value: String: "rBot.exe"

3 、修改下列注册表键值，用来标记已感染：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftOleEnableDCOM

New: String: "N"

Old: String: "Y"

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlLsa

estrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

estrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

4 、连接下列 IRC 服务器 , 进行下列操作，包括发送用户信息以及试图下载病毒文件，但由于

服务器已关闭，故无后绪操作：

IRC 服务器 :2*6.4*.1*7.3*:6667

PASS random

NICK MacAttack9

USER j 0 0 :MacAttack9

USERHOST MacAttack9

MODE MacAttack9 -x+iB

JOIN #MoRoN random

USERHOST MacAttack9

MODE MacAttack9 -x+iB

JOIN #MoRoN random

:ragnarok.us.crystalnet.org 302 MacAttack9

:MacAttack9=+~j@1e624c7d.38be9aca.2470642c.2486bcaX

:MacAttack9 MODE MacAttack9 :+B

:MacAttack9!~j@1e624c7d.38be9aca.2470642c.2486bcaX JOIN :#MoRoN

:ragnarok.us.crystalnet.org 353 MacAttack9 = #MoRoN :MacAttack9 Wilkin0

Kendall1 BiLLioN2 will0 StMartin0 Sinsabaugh1

:ragnarok.us.crystalnet.org 366 MacAttack9 #MoRoN :End of /NAMES list.

:ragnarok.us.crystalnet.org 302 MacAttack9

:MacAttack9=+~j@1e624c7d.38be9aca.2470642c.2486bcaX

PING :ragnarok.us.crystalnet.org

PONG :ragnarok.us.crystalnet.org

:Wilkin0!~ezk@11813a15.1b415a10.e8a4d95.642f304X QUIT :Ping timeout

PING :ragnarok.us.crystalnet.org

PONG :ragnarok.us.crystalnet.org

5 、监听网络，截获敏感的信息：

FTP 、 Tftp 密码、电子支付软件密码，如 PayPal 。

6 、创建 SOCKS4 、 Http 代理服务器。

7 、枚举 IRC 软件 (Quarterdeck Global Chat 1.2.9 for Macintosh) 用户的用户名与密码：

密码列表用户名表

aministratorchangeme

aministrador default

aministrateur system

aministrat server

aminswerty

amin outlook

saff internet

cmputer accounts

oner accounting

student homeuser

teacher oemuser

wwwadmin oeminstall

guestwindows

default win98

database win2k

oracle winxp

administrator winnt

administrador win2000

administrateur peter

administrat susan

admins brian

admin chris

password1 george

password katie

passwd login

pass1234 loginpass

12345 technical

123456backup

1234567exchange

12345678 bitch

123456789 hello

1234567890 domain

gest domainpass

linux domainpassword

等等 ……

8 、利用的漏洞：

· DCOM RPC 漏洞 ( Microsoft Security Bulletin MS03-026 ) using TCP 端口 135.

· LSASS 漏洞 ( 描述于Microsoft Security Bulletin MS04-011 ) using TCP

端口 s135, 139 or 445.

· Microsoft SQL Server 2000 or MSDE 2000 audit 漏洞

( 描述于Microsoft Security Bulletin MS02-061 ) 使用 UDP 端口 1434.

· WebDav 漏洞 ( 描述于 Microsoft Security Bulletin MS03-007 ) using TCP

端口 80.

· UPnP NOTIFY 缓冲区漏洞 ( 描述于Microsoft Security Bulletin MS01-059 ).

· Workstation 服务缓冲区 Overrun 漏洞 ( 描述于 Microsoft Security Bulletin

MS03-049 ) using TCP 端口 445. Windows XP users are protected against this

漏洞 if the patch in Microsoft Security Bulletin MS03-043 has been applied.

Windows 2000 users must apply the patch in Microsoft Security Bulletin

MS03-049.

· The Microsoft Windows SSL Library Denial of Service 漏洞

( 描述于 Microsoft Security Bulletin MS04-011 ).

· The VERITAS Backup Exec Agent Browser Remote 缓冲区漏洞

(as described here ).

· The Microsoft Windows Plug and Play 缓冲区漏洞

( 描述于 Microsoft Security Bulletin MS05-039 ).

· The Microsoft Windows Server Service Remote 缓冲区漏洞

( 描述于 Microsoft Security Bulletin MS06-040 ).

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

清除方案：

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线 “进程管理”关闭病毒进程：

rBot.exe

(2) 删除并恢复病毒添加与修改的注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunDRam prosessor

Value: String: "rBot.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunServicesDRam prosessor

Value: String: "rBot.exe"

(3) 删除病毒释放文件：

%WinDir%cookie.jpg

%WinDir%

Bot.exe