安天实验室    CERT组分析

一、    病毒标签：

病毒名称： Backdoor.Win32.Rbot.bzc
病毒类型： 后门类
文件 MD5： 0A857253293CDED4B0DA8914C1780249
公开范围： 完全公开
危害等级： 4
文件长度： 128,000 字节
感染系统： windows 98以上版本

二、 病毒描述：

该病毒为后门类，病毒运行后复制自身到系统目录，并删除自身。 修改注册表，添加启动项，以达到随机启动的目的。关闭Windows防火墙服务；关闭自动更新服务；禁用“监视系统安全设置和配置服务”项；并把自身副本添加到防火墙默认放行列表。连接到IRC服务器，等待受控。

三、 行为分析：

1、病毒运行后，复制自身到系统目录下，并删除自身：
%System32%\antivir.exe

2、修改注册表，添加启动项，以达到随机启动的目的：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " Avira Antivir PE " = "antivir.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
键值: 字串: " Avira Antivir PE " =  "antivir.exe"

3、关闭Windows防火墙服务：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)

4、关闭自动更新服务：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)

5、禁用“监视系统安全设置和配置服务”项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)

6、把自身副本添加到防火墙默认放行列表：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\@
键值: 字符串: ":*:Enabled:Avira Antivir PE"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\antivir.exe
键值: 字符串: "C:\WINDOWS\system32\antivir.exe:*:Enabled:antivir"

7、创建自身进程，尝试连接IRC地址: 
82.242.48.25
port:3900    
频道名: ###bye###  
            密码: byeeeee
      服务器名：dcz16.convicts.in.au
8、连接到IRC服务器，等待受控，命令说明如下:

    IRC命令如：
        　/join <#闲聊室> [该闲聊室的密码]
        　/nick <新别名>        
        　/quit [退出连接的理由]                                  
      　 ......
  　对目标主机的操作：
        下载文件
        发起拒绝服务(DDOS)攻击
        执行IRC命令
        执行系统扫描
    

sicceer 15:19:16

注释：
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp 
%System32%                    是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是　C:\Windows\System；
WindowsXP中默认的安装路径是　C:\Windows\System32。
    
    
四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com <http://www.antiy.com> 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com <http://www.antiy.com>或<http://www.antiy.com/download/index.htm> 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
        
(2) 强行删除病毒文件
         %System32%\antivir.exe
    
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " Avira Antivir PE " = "antivir.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
键值: 字串: " Avira Antivir PE " =  "antivir.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\@
键值: 字符串: ":*:Enabled:Avira Antivir PE"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\antivir.exe
键值: 字符串: "C:\WINDOWS\system32\antivir.exe:*:Enabled:antivir"