病毒名稱：Backdoor/RBot.alr
中 文 名：“羅伯特”變種alr
病毒長(zhǎng)度：可變
病毒類型：后門
影響平臺(tái)：Win 9x/2000/XP/NT/Me/2003

7月20日，江民反病毒中心率先截獲 “羅伯特”新變種alr，該病毒不僅可以盜取用戶各大網(wǎng)上帳號(hào)密碼，就連易趣、paypal等網(wǎng)上在線交易帳號(hào)也不放過(guò)，危害甚大。

Backdoor/RBot.alr“羅伯特”變種alr是蠕蟲(chóng)Backdoor/RBot變種之一。它利用KazaA共享程序及mIRC聊天室進(jìn)行傳播。該蠕蟲(chóng)不僅傳播給已經(jīng)感染后門的用戶計(jì)算機(jī)，而且利用弱口令進(jìn)行網(wǎng)絡(luò)共享傳播。它通過(guò)連接到可組態(tài)的IRC服務(wù)器和黑客指定站點(diǎn)執(zhí)行多種后門功能。新變種利用漏洞補(bǔ)丁MS03-026、漏洞補(bǔ)丁MS04-011、漏洞補(bǔ)丁MS03-049(Windows 2000等微軟漏洞進(jìn)行傳播。

病毒具體技術(shù)特征如下：

1、自我復(fù)制到系統(tǒng)目錄下，該變種可能以下列文件名出現(xiàn)
Bling.exe
Netwmon.exe
Wuamgrd.exe

2.、在KazaA上創(chuàng)建共享文件夾，修改注冊(cè)表，在注冊(cè)表項(xiàng)添加鍵值："dir0" = "012345:[組態(tài)路徑]"，并以可變的文件名的方式復(fù)制到指定的路徑下，誘導(dǎo)其他用戶下載并運(yùn)行該后門，導(dǎo)致對(duì)指定的服務(wù)器進(jìn)行拒絕服務(wù)攻擊 DoS，按照設(shè)置該蠕蟲(chóng)還能終止某些與安全相關(guān)的進(jìn)程。

3、連接到特定IRC服務(wù)器并接收命令：
掃描有漏洞的計(jì)算機(jī)
下載或者上傳升級(jí)文件
列表或終止運(yùn)行中的進(jìn)程
盜取緩沖區(qū)中的密碼
記錄鍵擊，盜取網(wǎng)銀或在線交易等指定窗口內(nèi)輸入的信息，特別是當(dāng)這些Windows 的窗口的標(biāo)題包含bank、login、e-bay 、ebay 、paypal等字符串時(shí)，并將盜取的信息發(fā)送到IRC服務(wù)器。

4、以直接編碼的方式自我復(fù)制到Windows啟動(dòng)文件夾內(nèi)，例如：
Documents and Settings\All Users\Menu Start\Programma's\Opstarten
WINDOWS\All Users\Start Menu\Programs\StartUp
WINNT\Profiles\All Users\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
Documents and Settings\All Users\Start Menu\Programs\Startup

5、鍵入SA密碼連接MS SQL服務(wù)器，密碼驗(yàn)證正確后，該后門自我復(fù)制到被感染的計(jì)算機(jī)里，輸入null、Rendszergazda 、 Administrator、Password、123等密碼以便進(jìn)入遠(yuǎn)程服務(wù)器。列出用戶名以便進(jìn)行共享傳播，輸入007、123456789、bill等密碼以便操縱網(wǎng)絡(luò)共享，如若多次輸入錯(cuò)誤密碼，則導(dǎo)致用戶帳戶被封。

針對(duì)該病毒，江民公司已經(jīng)在第一時(shí)間升級(jí)了病毒庫(kù)，請(qǐng)您及時(shí)升級(jí)KV2005殺毒軟件病毒庫(kù)，開(kāi)啟“木馬/注冊(cè)表監(jiān)視”“隱私保護(hù)”，即可全面防殺該病毒，保護(hù)您的信息不被盜取。