病毒名称:Backdoor/RBot.alr
中 文 名:“罗伯特”变种alr
病毒长度:可变
病毒类型:后门
影响平台:Win 9x/2000/XP/NT/Me/2003
7月20日,江民反病毒中心率先截获 “罗伯特”新变种alr,该病毒不仅可以盗取用户各大网上帐号密码,就连易趣、paypal等网上在线交易帐号也不放过,危害甚大。
Backdoor/RBot.alr“罗伯特”变种alr是蠕虫Backdoor/RBot变种之一。它利用KazaA共享程序及mIRC聊天室进行传播。该蠕虫不仅传播给已经感染后门的用户计算机,而且利用弱口令进行网络共享传播。它通过连接到可组态的IRC服务器和黑客指定站点执行多种后门功能。新变种利用漏洞补丁MS03-026、漏洞补丁MS04-011、漏洞补丁MS03-049(Windows 2000等微软漏洞进行传播。
病毒具体技术特征如下:
1、自我复制到系统目录下,该变种可能以下列文件名出现
Bling.exe
Netwmon.exe
Wuamgrd.exe
2.、在KazaA上创建共享文件夹,修改注册表,在注册表项添加键值:"dir0" = "012345:[组态路径]",并以可变的文件名的方式复制到指定的路径下,诱导其他用户下载并运行该后门,导致对指定的服务器进行拒绝服务攻击 DoS,按照设置该蠕虫还能终止某些与安全相关的进程。
3、连接到特定IRC服务器并接收命令:
扫描有漏洞的计算机
下载或者上传升级文件
列表或终止运行中的进程
盗取缓冲区中的密码
记录键击,盗取网银或在线交易等指定窗口内输入的信息,特别是当这些Windows 的窗口的标题包含bank、login、e-bay 、ebay 、paypal等字符串时,并将盗取的信息发送到IRC服务器。
4、以直接编码的方式自我复制到Windows启动文件夹内,例如:
Documents and Settings\All Users\Menu Start\Programma's\Opstarten
WINDOWS\All Users\Start Menu\Programs\StartUp
WINNT\Profiles\All Users\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
Documents and Settings\All Users\Start Menu\Programs\Startup
5、键入SA密码连接MS SQL服务器,密码验证正确后,该后门自我复制到被感染的计算机里,输入null、Rendszergazda 、 Administrator、Password、123等密码以便进入远程服务器。列出用户名以便进行共享传播,输入007、123456789、bill等密码以便操纵网络共享,如若多次输入错误密码,则导致用户帐户被封。
针对该病毒,江民公司已经在第一时间升级了病毒库,请您及时升级KV2005杀毒软件病毒库,开启“木马/注册表监视”“隐私保护”,即可全面防杀该病毒,保护您的信息不被盗取。
------------------------------- · 相关文档浏览 · --------------------------------------------------------------------- · 热门文档浏览 · -------------------------------------
