论坛: 电脑门诊 标题: 求救!!!! 复制本贴地址    
作者: liujianlin [liujianlin]    论坛用户   登录
谁有办法清除这个病毒“Backdoor.Rbot.pu”
瑞星升级报告:16.48.20 版新增 75个可查杀病毒
www.rising.com.cn  2004-10-13 16:18:00  信息源:瑞星公司 

广告 

16.48.20版新增75个可查杀病毒,主要包括: WINDOWS下的PE病毒(60);宏病毒(1);脚本病毒(7);普通文件病毒(7);


WINDOWS下的PE病毒(60)

1.Backdoor.SdBot.adt
破坏方法:SDBot的变种,破坏行为如下

一、IRC(Internet Relay Chat)连接。

    试图通过"verona.no-ip.org "的TCP 9000 端口建立通讯。

二、文件和注册表

    1. 复制自己到系统目录,命名为“msupdate.exe”。

    2. 在下列键添加启动项“Microsoft Update Machine”使病毒随Windows的启动而自动运行。

        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
        \Run
        HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
        \RunServices

三、建立通讯后,接收远程控制命令。

  1. 偷用户正版游戏的序列号。

      Command & Conquer Generals 、
      FIFA 2003 、NFSHP2 、SOF2 、
      Soldier of Fortune II - Double Helix
      Battlefield 1942 
      Project IGI 2 、Unreal Tournament 2003 
      Half-Life 


  2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接,把病毒复制过去,并运行起来,进行新的破坏。
病毒带有一个密码字典,包含一百多个数字、字母、词汇的简单组合。建议用户一定使用复杂的密码。
  3. 记录键盘输入,保存到系统目录的“keylog.txt”。通过这种方式可以获得用户的各种密码(Windows登陆、邮箱、论坛、游戏、网络支付等等)。
  4. 发动SYN 攻击,造成指定机器拒绝服务。
  5. 下载文件并运行。往往用作传递新的远程控制程序,进行直接控制。
  6.  终止系统的进程和线程。



2.Backdoor.SdBot.adw
破坏方法:SDBot的变种,破坏行为如下

一、IRC(Internet Relay Chat)连接。

    试图通过"xirc.ifs-irc.net"的TCP 6667 端口建立通讯。

二、文件和注册表

    1. 复制自己到系统目录,命名为“Sound.exe”。

    2. 在下列键添加启动项“Microsoft Server Application”使病毒随Windows的启动而自动运行。

        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
        \Run
        HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
        \RunServices

三、建立通讯后,接收远程控制命令。

  1. 偷用户正版游戏的序列号。

      Command & Conquer Generals 、
      FIFA 2003 、NFSHP2 、SOF2 、
      Soldier of Fortune II - Double Helix
      Battlefield 1942 
      Project IGI 2 、Unreal Tournament 2003 
      Half-Life 


  2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接,把病毒复制过去,并运行起来,进行新的破坏。
病毒带有一个密码字典,包含一百多个数字、字母、词汇的简单组合。建议用户一定使用复杂的密码。
  3. 记录键盘输入,保存到系统目录的“keylog.txt”。通过这种方式可以获得用户的各种密码(Windows登陆、邮箱、论坛、游戏、网络支付等等)。
  4. 发动SYN 攻击,造成指定机器拒绝服务。
  5. 下载文件并运行。往往用作传递新的远程控制程序,进行直接控制。
  6.  终止系统的进程和线程。



3.Backdoor.SdBot.adu
破坏方法:SDBot的变种,破坏行为如下

一、IRC(Internet Relay Chat)连接。

    试图通过"newboot.server.us "的TCP 30108 端口建立通讯。

二、文件和注册表

    1. 复制自己到系统目录,命名为“mntcgf032.exe”。

    2. 在下列键添加启动项“Microsoft WinUpdate”使病毒随Windows的启动而自动运行。

        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
        \Run
        HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
        \RunServices

三、建立通讯后,接收远程控制命令。

  1. 偷用户正版游戏的序列号。

      Command & Conquer Generals 、
      FIFA 2003 、NFSHP2 、SOF2 、
      Soldier of Fortune II - Double Helix
      Battlefield 1942 
      Project IGI 2 、Unreal Tournament 2003 
      Half-Life 


  2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接,把病毒复制过去,并运行起来,进行新的破坏。
病毒带有一个密码字典,包含一百多个数字、字母、词汇的简单组合。建议用户一定使用复杂的密码。
  3. 记录键盘输入,保存到系统目录的“keylog.txt”。通过这种方式可以获得用户的各种密码(Windows登陆、邮箱、论坛、游戏、网络支付等等)。
  4. 发动SYN 攻击,造成指定机器拒绝服务。
  5. 下载文件并运行。往往用作传递新的远程控制程序,进行直接控制。
  6.  终止系统的进程和线程。



4.Backdoor.SdBot.adv
破坏方法:SDBot的变种,破坏行为如下

一、IRC(Internet Relay Chat)连接。

    试图通过"y.eliteirc.co.uk"的TCP 6668 端口建立通讯。

二、文件和注册表

    1. 复制自己到系统目录,命名为“regscan.exe”。

    2. 在下列键添加启动项“Windows Registry Scan”使病毒随Windows的启动而自动运行。

        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
        \Run
        HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
        \RunServices

三、建立通讯后,接收远程控制命令。

  1. 偷用户正版游戏的序列号。

      Command & Conquer Generals 、
      FIFA 2003 、NFSHP2 、SOF2 、
      Soldier of Fortune II - Double Helix
      Battlefield 1942 
      Project IGI 2 、Unreal Tournament 2003 
      Half-Life 

  2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接,把病毒复制过去,并运行起来,进行新的破坏。
病毒带有一个密码字典,包含一百多个数字、字母、词汇的简单组合。建议用户一定使用复杂的密码。
  3. 记录键盘输入,保存到系统目录的“keylog.txt”。通过这种方式可以获得用户的各种密码(Windows登陆、邮箱、论坛、游戏、网络支付等等)。
  4. 发动SYN 攻击,造成指定机器拒绝服务。
  5. 下载文件并运行。往往用作传递新的远程控制程序,进行直接控制。
  6.  终止系统的进程和线程。



5.Trojan.PSW.Lmir.vf
破坏方法:窃取游戏“传奇”帐号密码的木马病毒

此病毒启动后将自己安装到%Windows%或%system%或%tmp%目录下,
尝试破坏软件“密码防盗专家”
搜索下列反病毒软件的窗体并且向其发送推出消息:
Symantec AntiVirus 企业版
江民杀毒软件 KV2004:实时监视
RavMon.exe
RavMonClass 
ZoneAlarm
ZAFrameWnd
天网防火墙个人版
天网防火墙企业版
木马克星
此病毒还会搜索下列反病毒软件的进程,并将其强行结束:
EGHOST.EXE 
MAILMON.EXE
KAVPFW.EXE
NMain.exe
navw32.EXE
KvXP.kxp 
KVSrvXP.exe
KVMonXP.kxp
KAVSvc.exe
KAV32.exe 
KAVSvcUI.exe
KWatchUI.EXE
system.exe
然后此病毒会从体内释放一个动态连接库,利用此动态连接库拦截键盘及窗体的消息,趁机窃取帐号并发送到指定的邮箱内。
破坏方法:
  1.修改注册表:
在注册表的下列位置添加一项自启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run



6.TrojanDownloader.Win32.Swizzor.bk
破坏方法:下载http://***upd.lop.com/upd/check?version=0.0unk的病毒。



7.Backdoor.WinConst.Server
破坏方法:一个后门服务端。通过将动态库注入其他进程实现后门功能。



8.Backdoor.Rbot.pt
破坏方法:Rbot病毒变种,是一种IRC后门。



9.Backdoor.Rbot.pu
破坏方法:Rbot病毒变种,是一种IRC后门。



10.Backdoor.Rbot.pv
破坏方法:Rbot病毒变种,是一种IRC后门。



11.Backdoor.Prosti.d.Client
破坏方法:远程控制程序的客户端。



12.Backdoor.WinConst
破坏方法:后门程序的控制端。



13.Not_Virus.ADWare.180solutions.c


14.Exploit.YahooPOPs


15.Trojan.DarkHole.2004.d


16.TrojanDownloader.Slime.o


17.Trojan.Win32.VB.la


18.Backdoor.SdBot.adx


19.DDoser.SynFlood


20.TrojanDropper.ExeBinder.a


21.Trojan.PSW.Lineage.m


22.Backdoor.Rbot.pw


23.Backdoor.Wootbot.ae


24.Backdoor.SdBot.ads


25.TrojanDownloader.Win32.Swizzor.bl


26.TrojanDownloader.Win32.Swizzor.bm


27.Backdoor.AgoBot.br


28.Backdoor.Theta.2.server.b


29.I-Worm.Azag.a


30.Trojan.Krepper.o


31.Worm.P2P.Compux.a


32.Trojan.Lineage.p


33.Trojan.Lineage.n


34.Trojan.Lineage.q


35.Trojan.Lineage.o


36.Trojan.Lineage.r


37.Trojan.PSW.LdPinch.fc


38.Trojan.PSW.LdPinch.fd


39.Trojan.PSW.LdPinch.ff


40.Trojan.PSW.LdPinch.fg


41.Trojan.PSW.LdPinch.fh


42.Trojan.PSW.LdPinch.fi


43.Trojan.PSW.LdPinch.fj


44.Trojan.PSW.LdPinch.fk


45.Trojan.PSW.Leee.b


46.Trojan.PSW.Mirpn.50.i


47.Trojan.PSW.Misos


48.Trojan.PSW.Muhola.b


49.Trojan.PSW.Sagic.15


50.Trojan.PSW.Shina.a


51.Trojan.PSW.Small.k


52.Trojan.PSW.Small.l


53.Trojan.PSW.Snagger


54.Trojan.PSW.Stealer.e


55.Trojan.PSW.Testagent.c


56.TrojanSpy.BHO.c


57.Backdoor.Rbot.ps


58.TrojanDropper.Small.cy


59.Trojan.Startpage.nq


60.Trojan.Startpage.nr


宏病毒(1)

61.Macro.Word.Ultimo


脚本病毒(7)

62.Bat.Passer.l
破坏方法:猜测IPC共享的管理员用户名和密码的bat脚本。



63.BAT.Noshare.f
破坏方法:取消IPC共享的脚本。



64.IRC-Worm.Generic.Htm
破坏方法:病毒网页。



65.TrojanDropper.VBS.Gen
破坏方法:释放病毒。



66.VBS.Aeon.a


67.Trojan.VBS.Limp.a


68.Script.Viewer.b


普通文件病毒(7)

69.Backdoor.IRC.Zcrew.f


70.Trojan.VBS.Foomol.a


71.Trojan.VBS.Foomol.b


72.Backdoor.IRC.Zcrew.g


73.VBS.Aeon.a


74.Win32.Insom.1972


75.Backdoor.Katherdoor.400





地主 发表时间: 04-10-15 21:04
回复: lijuanjuan [lijuanjuan]   论坛用户   登录
什么啊?

B1层 发表时间: 04-11-01 19:07

论坛: 电脑门诊

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号