Rbot的各種變體是具有不同格式的Win32可運行程序。它具有以下特點:
在運行時,註冊表鍵值被修改以確保病毒體在每次系統啟動時運行:
HKLM \軟件\微軟\ Windows \當前版本\運行\ HKLM \軟件\微軟\ Windows \當前版本\運行服務\
HKCU \軟件\微軟\ Windows \當前版本\運行\ HKCU \軟件\微軟\ Windows \當前版本\運行服務\
蠕蟲還會修改以下註冊表:
HKLM \軟件\微軟\Ole\
HKLM \系統\當前控制集\控制\Lsa\
HKCU \軟件\微軟\Ole\
HKCU \系統\當前控制集\控制\Lsa\
監聽壹些本地TCP端口,等待連接,實現後門功能。
連接特定IRC服務器的特定通道(例如real.profess.us的64444端口),接受黑客控制,發送本地系統信息。接收黑客的命令並在本地執行。並將執行結果發送回IRC聊天頻道。建立通信後,接收遙控命令。
1.建立壹個FTP服務器,提供上傳和下載文件的服務。
2.猜測局域網內其他機器的ipc連接密碼。壹旦成功連接,復制病毒並運行它做新的破壞。該病毒帶有密碼字典,包含100多種數字、字母和單詞的簡單組合。
解決方案:
目前大多數主流殺毒軟件都可以清除這種病毒。將殺毒軟件升級到最新版本,重啟,進入安全模式,全面掃描。如果發現無法清理,可以配置殺毒軟件的啟動掃描配合安全模式查殺。
補充:
前面的後門就是後門的意思,是殺毒軟件對病毒的壹種命名方式。Win32是指感染Windows的32位應用程序,Rot是病毒的具體名稱,bmr是變種的符號。
參見上面的解決方案。