科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Backdoor.Win32.Rbot.byt 分析报告

Backdoor.Win32.Rbot.byt 分析报告

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒名称: Backdoor.Win32.Rbot.byt 病毒类型: 后门类

来源:论坛整理 2008年7月29日

关键字: 安全防范 木马 后门

  • 评论
  • 分享微博
  • 分享邮件
安天实验室    CERT组分析

一、    病毒标签:

病毒名称: Backdoor.Win32.Rbot.byt 
病毒类型: 后门类
文件 MD5: BFFD1C6DFF774744D462BCB35A6632EF
公开范围: 完全公开
危害等级: 4
文件长度: 98,304 字节
感染系统: windows 98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: SVKP 1.11

二、    病毒描述:

该病毒为后门类,病毒运行后复制自身到%System32%目录下,并重命名processes.exe ,衍生病毒文件,并删除自身。 修改注册表,添加启动项,以达到随机启动的目的。病毒新建 hosts 文件,屏蔽相关网站。尝试连接到IRC服务器,等待受控。

三、 行为分析:

1、    病毒运行后衍生文件:

%System32%/processes.exe
%System32%/drivers/etc/hosts

2、新建下列注册表项,同时添加启动项,以达到随机启动的目的:

HKEY_CURRENT_USER/Software/Microsoft/OLE
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Control/Lsa
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Ole
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Lsa
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
键值: 字串: " ATI Video Driver Control " = "processes.exe"

3、病毒新建 hosts 文件,屏蔽下列网站:

127.0.0.1        localhost
127.0.0.1        www.symantec.com
127.0.0.1        securityresponse.symantec.com
127.0.0.1        symantec.com
127.0.0.1        www.sophos.com
127.0.0.1        sophos.com
127.0.0.1        www.mcafee.com
127.0.0.1        mcafee.com
127.0.0.1        liveupdate.symantecliveupdate.com
127.0.0.1        www.viruslist.com
127.0.0.1        viruslist.com
127.0.0.1        viruslist.com
127.0.0.1        f-secure.com
127.0.0.1        www.f-secure.com
127.0.0.1        kaspersky.com
127.0.0.1        kaspersky-labs.com
127.0.0.1        www.avp.com
127.0.0.1        www.kaspersky.com
127.0.0.1        avp.com
127.0.0.1        www.networkassociates.com
127.0.0.1        networkassociates.com
127.0.0.1        www.ca.com
127.0.0.1        ca.com
127.0.0.1        mast.mcafee.com
127.0.0.1        my-etrust.com
127.0.0.1        www.my-etrust.com
127.0.0.1        download.mcafee.com
127.0.0.1        dispatch.mcafee.com
127.0.0.1        secure.nai.com
127.0.0.1        nai.com
127.0.0.1        www.nai.com
127.0.0.1        update.symantec.com
127.0.0.1        updates.symantec.com
127.0.0.1        us.mcafee.com
127.0.0.1        liveupdate.symantec.com
127.0.0.1        customer.symantec.com
127.0.0.1        rads.mcafee.com
127.0.0.1        trendmicro.com
127.0.0.1        pandasoftware.com
127.0.0.1        www.pandasoftware.com
127.0.0.1        www.trendmicro.com
127.0.0.1        www.grisoft.com
127.0.0.1        www.microsoft.com
127.0.0.1        microsoft.com
127.0.0.1        www.virustotal.com
127.0.0.1        virustotal.com

4、创建自身进程processes.exe,尝试连接IRC地址:

W1.myserv (200.251.187.2:4212)
port:4212   
频道名: #sql
密码: blah 
     
5、连接到IRC服务器,等待受控,命令说明如下:

    IRC命令如:
         /join <#闲聊室> [该闲聊室的密码]
         /nick <新别名>       
         /quit [退出连接的理由]                                 
        ......
   对目标主机的操作:
        下载文件
        发起拒绝服务(DDOS)攻击
        执行IRC命令
        执行系统扫描

   
注释:
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量;路径为:
%Documents and Settings%/当前用户/Local Settings/Temp
%System32%                    是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:/Winnt/System32;
Windows95/98/Me中默认的安装路径是 C:/Windows/System;
WindowsXP中默认的安装路径是 C:/Windows/System32。
   
   
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.comhttp://www.antiy.com/download/index.htm
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进processes.exe

        (2) 删除病毒文件
%System32%/processes.exe
%System32%/drivers/etc/hosts

        (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER/Software/Microsoft/OLE
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Control/Lsa
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Ole
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Lsa
键值: 字串: " ATI Video Driver Control " = "processes.exe"

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
键值: 字串: " ATI Video Driver Control " = "processes.exe"
    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号