ckdoor.Win32.Rbot.bzc分析报告 |
| 更新时间:2008-4-21 0:48:01 |
责任编辑:池天 |
|
|
安天实验室 CERT组分析
一、 病毒标签:
病毒名称: Backdoor.Win32.Rbot.bzc
病毒类型: 后门类
文件 MD5: 0A857253293CDED4B0DA8914C1780249
公开范围: 完全公开
危害等级: 4
文件长度: 128,000 字节
感染系统: windows 98以上版本
二、 病毒描述:
该病毒为后门类,病毒运行后复制自身到系统目录,并删除自身。 修改注册表,添加启动项,以达到随机启动的目的。关闭Windows防火墙服务;关闭自动更新服务;禁用“监视系统安全设置和配置服务”项;并把自身副本添加到防火墙默认放行列表。连接到IRC服务器,等待受控。
三、 行为分析:
1、病毒运行后,复制自身到系统目录下,并删除自身:
%System32%\antivir.exe
2、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " Avira Antivir PE " = "antivir.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
键值: 字串: " Avira Antivir PE " = "antivir.exe"
3、关闭Windows防火墙服务:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
4、关闭自动更新服务:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
5、禁用“监视系统安全设置和配置服务”项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
6、把自身副本添加到防火墙默认放行列表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\@
键值: 字符串: ":*:Enabled:Avira Antivir PE"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\antivir.exe
键值: 字符串: "C:\WINDOWS\system32\antivir.exe:*:Enabled:antivir"
1 2 下一页 | | |
| |
安全中国首页 > 新闻中心 > 热门病毒信息