ckdoor.Win32.Rbot.bzc分析报告

木头 · 发表于 2008-4-24 20:35:45

安天实验室 CERT组分析

一、病毒标签：

病毒名称： Backdoor.Win32.Rbot.bzc
病毒类型：后门类
文件 MD5： 0A857253293CDED4B0DA8914C1780249
公开范围：完全公开
危害等级： 4
文件长度： 128,000 字节
感染系统： windows 98以上版本

二、病毒描述：

该病毒为后门类，病毒运行后复制自身到系统目录，并删除自身。修改注册表，添加启动项，以达到随机启动的目的。关闭Windows防火墙服务；关闭自动更新服务；禁用“监视系统安全设置和配置服务”项；并把自身副本添加到防火墙默认放行列表。连接到IRC服务器，等待受控。

三、行为分析：

1、病毒运行后，复制自身到系统目录下，并删除自身：
%System32%\\antivir.exe

2、修改注册表，添加启动项，以达到随机启动的目的：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键值: 字串: \" Avira Antivir PE \" = \"antivir.exe\"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
键值: 字串: \" Avira Antivir PE \" = \"antivir.exe\"

3、关闭Windows防火墙服务：
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\SharedAccess\\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)

4、关闭自动更新服务：
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\wuauserv\\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\wuauserv\\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)

5、禁用“监视系统安全设置和配置服务”项：
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\wscsvc\\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\wscsvc\\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)

6、把自身副本添加到防火墙默认放行列表：
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List\\@
键值: 字符串: \":*:Enabled:Avira Antivir PE\"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List\\C:\\WINDOWS\\system32\\antivir.exe
键值: 字符串: \"C:\\WINDOWS\\system32\\antivir.exe:*:Enabled:antivir\"
7、创建自身进程，尝试连接IRC地址:
82.242.48.25
port:3900
频道名: ###bye###
密码: byeeeee
服务器名：dcz16.convicts.in.au
8、连接到IRC服务器，等待受控，命令说明如下:

IRC命令如：
　/join <#闲聊室> [该闲聊室的密码]
　/nick <新别名>
　/quit [退出连接的理由]
　 ......
　对目标主机的操作：
下载文件
发起拒绝服务(DDOS)攻击
执行IRC命令
执行系统扫描

sicceer 15:19:16

注释：
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量；路径为：
%Documents and Settings%\\当前用户\\Local Settings\\Temp
%System32% 是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:\\Winnt\\System32；
Windows95/98/Me中默认的安装路径是　C:\\Windows\\System；
WindowsXP中默认的安装路径是　C:\\Windows\\System32。

四、清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com <http://www.antiy.com> 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com <http://www.antiy.com>或<http://www.antiy.com/download/index.htm> 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

(2) 强行删除病毒文件
%System32%\\antivir.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键值: 字串: \" Avira Antivir PE \" = \"antivir.exe\"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
键值: 字串: \" Avira Antivir PE \" = \"antivir.exe\"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\SharedAccess\\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\wuauserv\\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\wuauserv\\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\wscsvc\\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\wscsvc\\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List\\@
键值: 字符串: \":*:Enabled:Avira Antivir PE\"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List\\C:\\WINDOWS\\system32\\antivir.exe
键值: 字符串: \"C:\\WINDOWS\\system32\\antivir.exe:*:Enabled:antivir\"

账号		自动登录	找回密码
密码			开放注册