win32.Rbot是一种利用IRC控制后门的病毒(或称bot),可以未经授权进入受感染的机器。它也具有类似蠕虫的功能,可以通过弱口令进入共享,并利用很多不同的软件漏洞进行传播,同时可以利用其它的恶意程序生成的后门进行传播。Rbot有很多种变体,它的可配置性高,发展的也很快,但是不同变体的核心功能是一致的。
Rbot的各种变体是以不同格式加壳的Win32可运行程序。它带有以下特征:
运行时,会修改注册表键值,以确保在每次系统启动时运行病毒体:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
蠕虫还会修改以下注册表:
HKLM\SOFTWARE\Microsoft\Ole\
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
HKCU\SOFTWARE\Microsoft\Ole\
HKCU\SYSTEM\CurrentControlSet\Control\Lsa\
监听本地某些TCP端口,等待连接,实现后门功能。
连接特定IRC服务器的特定频道(比如:real.profess.us 的 64444 端口 ),接受黑客控制,发送本地系统信息。接收黑客发来的命令在本地执行。并将执行结果发回IRC聊天频道。建立通讯后,接收远程控制命令。
1.建立FTP服务器,提供上传和下载文件的服务
2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接,把病毒复制过去,并运行起来,进行新的破坏。病毒带有一个密码字典,包含一百多个数字、字母、词汇的简单组合。
解决办法:
目前大多数主流杀毒软件都可以清除此病毒。升级杀毒软件到最新版本,重新启动,进入安全模式,全盘扫描。如发现不能清除干净,可配置杀毒软件的开机扫描配合安全模式查杀。
补充:
前面的Backdoor就是后门的意思,是杀毒软件对病毒的一种命名方法。win32是指感染windows 32位应用程序,Rot是这个病毒的具体名字
