病毒名称：“IRC波特变种AO（Backdoor.IRCBot.ao）”
　　警惕程度：★★★
　　病毒类型：后门程序
　　传播途径：通过局域网传播
　　受影响系统：WIN9X/NT/2000/XP。

　　运行后把自己复制到系统目录下，病毒文件名为“videons32.exe”，然后修改注册表实现开机自启动。病毒本身附带了IPC弱口令字典，可猜测共享密码，对局域网危害很大。该病毒是一个IRC后门，运行后连接特定IRC频道，等待控制方发来命令。

　　病毒会记录键盘输入，用这种方式偷窃用户的各种密码信息。攻击者可以操纵被感染的机器，对指定机器发送SYN攻击，使其崩溃。病毒还会屏蔽多种国际主流杀毒软件的网址，使用户无法升级自己的杀毒软件。

　　Backdoor.Rbot.dh.enc
　　破坏方法：Backdoor.Rbot病毒变种，使用VC++编写，病毒体很庞大，功能较多。

　　运行后将自己拷贝到系统目录，文件名为dosprmwin.exe。然后删除自身。

　　在注册表
　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run
　　HKLM\Software\Microsoft\Windows
　　\CurrentVersion\RunServices
　　HKCU\Software\Microsoft\Windows\CurrentVersion\Run
　　下添加启动项，使自己能随着开机自启动。

　　运行后监听113号端口等待远程控制端连接。

　　通过各种漏洞传播自身，如：WebDav，DCom，lsass，MSsql，本身附带了还有IPC弱口令字典，可猜测共享密码，对局域网危害很大。

　　病毒同时是一个IRC后门，运行后连接特定IRC频道，等待控制方发来命令。

　　盗取游戏CD Key，如Soldier of Fortune II - Double Helix，Hidden & Dangerous 2，
　　Red Alert 2，Tiberian Sun，Rainbow Six III RavenShield，Nascar Racing 2003，
　　Nascar Racing 2002，NHL 2003，FIFA 2003，FIFA 2002，Shogun: Total War: Warlord Edition，
　　Need For Speed: Underground，Need For Speed Hot Pursuit 2，Medal of Honor: Allied Assault: Spearhead，
　　Medal of Honor: Allied Assault，James Bond 007: Nightfire，Global Operations，
　　Command and Conquer: Generals，Black and White，Battlefield Vietnam，IGI 2: Covert Strike
　　Battlefield 1942 (Secret Weapons of WWII)，Battlefield 1942 (Road To Rome),Half-Life.........

　　遍历进程，查找并结束以下进程：regedit.exe，msconfig.exe，netstat.exe，msblast.exe，zapro.exe，
　　navw32.exe，navapw32.exe，zonealarm.exe，wincfg32.exe，taskmon.exe，PandaAVEngine.exe，
　　sysinfo.exe，mscvb32.exe，MSBLAST.exe，teekids.exe，Penis32.exe，bbeagle.exe，SysMonXP.exe，
　　winupd.exe，winsys.exe，ssate.exe。
　　这些进程中有些是Windows自带的诊断工具，有些是杀毒软件，也有像冲击波，恶鹰这样的病毒进程。

　　后门受到指挥后可以发动SYN攻击，造成指定机器拒绝服务。


　　瑞星16.36.20 可杀

分享： © 2023 版权所有：河海大学网络安全与信息化办公室 版权所有 地址：江苏省南京市西康路1号 反馈邮箱：xxzxzhb@hhu.edu.cn 苏ICP备12023610号 网站管理 河海大学微门户 河海大学移动办公 河海网信办微信公众号