Backdoor.Win32.Rbot.gen分析

一、 病毒标签：
病毒名称： Backdoor.Win32.Rbot.gen
病毒类型： 后门
文件 MD5：16E0CBD4DA722129E17B87764AFC6215
公开范围： 完全公开
危害等级： 4
文件长度： 385,095 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 5.0 [调试]

二、 病毒描述：
该病毒为后门类病毒，该病毒图标伪装成图片诱惑用户点击，病毒运行后获取当前用户名，设置出错程序为安静模式隐藏子进程的内存报错窗口，创建病毒互斥体防止病毒多次运行，拷贝自身文件到%System332%目录下重命名为：“riot.exe”，添加注册表启动项，将riot.exe病毒文件添加到防火墙信任列表，达到运行病毒之后防火墙不拦截目的，获取%Windir%目录下的explorer.exe文件的创建时间，将病毒文件的创建时间与explorer.exe文件的创建时间同步，并将属性设置为只读、隐藏，设置完毕后创建病毒进程，休眠200.ms后结束原病毒进程，该病毒会连接一个IRC服务器，等待接收服务器发送的响应指令，受感染的用户会造成网络丢包现象。

三、 行为分析：

本地行为：
1、病毒图标伪装成图片诱惑用户点击，病毒运行后调用GetUserNameA获取当前用户名，调用SetErrorMode
使用参数rMode = SEM_NOGPFAULTERRORBOX设置出错程序为安静模式隐藏子进程的内存报错窗口，调用CreateMutexA使用参数MutexName = "Ri0t[v5]"互斥体名，创建病毒互斥体防止病毒多次运行

2、复制自身到以下目录
%system32%\riot.exe

3、添加注册表项       
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\System32\riot.exe
值: 字符串: "C:\WINDOWS\System32\riot.exe:*:Enabled:riot bot"
描述：将病毒文件设置为Windows自带防火墙为旅行，达到通过防火墙窗口询问目的
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\riot bot
值: 字符串: "riot.exe"
描述：添加病毒启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\riot bot
值: 字符串: "riot.exe"
描述：添加病毒启动项

4、调用SearchPathA函数获取%Windir%目录下的explorer.exe文件的创建时间，调用SetFileTime函数将病毒文件的创建时间与explorer.exe文件的创建时间同步，并将属性设置为只读、隐藏，设置完毕后使用CreateProcessA函数创建病毒进程，休眠200.ms后结束原病毒进程

网络行为：
1、连接IRC服务器等待控制
协议：TCP
连接服务器名：irc.alpha-****.ws
域名或IP地址：
92.241.164.**：6667
用户名：vsqirayixb
对目标主机的操作：
/*昵称*/
NICK Ri0t787441743
/*服务器欢迎信息*/
:irc.alpha-****.ws 001 Ri0t787441743 :Welcome to the Alpha-AccZ IRC Network Ri0t787441743!vsqirayixb@219.147.182.149
:irc.alpha-****.ws 002 Ri0t787441743 :Your host is irc.alpha-accz.ws, running version Unreal3.2.7
:irc.alpha-****.ws 003 Ri0t787441743 :This server was created Tue Aug 5 2008 at 15:32:27 CEST
:irc.alpha-****.ws 004 Ri0t787441743 irc.alpha-accz.ws Unreal3.2.7 iowghraAsORTVSxNCWqBzvdHtGp lvhopsmntikrRcaqOALQbSeIKVfMCuzNTGj
:irc.alpha-****.ws 005 Ri0t787441743 NAMESX SAFELIST HCN MAXCHANNELS=20 CHANLIMIT=#:20 MAXLIST=b:60,e:60,I:60 NICKLEN=30 CHANNELLEN=32 TOPICLEN=307 KICKLEN=307 AWAYLEN=307 MAXTARGETS=20 WALLCHOPS :are supported by this server
:irc.alpha-****.ws 005 Ri0t787441743 WATCH=128 SILENCE=15 MODES=12 CHANTYPES=# PREFIX=(qaohv)~&@%+ CHANMODES=beI,kfL,lj,psmntirRcOAQKVCuzNSMTG NETWORK=Alpha-AccZ CASEMAPPING=ascii EXTBAN=~,cqnr ELIST=MNUCT STATUSMSG=~&@%+ EXCEPTS INVEX :are supported by this server
:irc.alpha-****.ws 005 Ri0t787441743 CMDS=KNOCK,MAP,DCCALLOW,USERIP :are supported by this server
/*用户信息*/
USERHOST Ri0t787441743
/*服务器属性信息及在线用户数量信息*/
:irc.alpha-****.ws 251 Ri0t787441743 :There are 52 users and 7 invisible on 2 servers
:irc.alpha-****.ws 252 Ri0t787441743 8 perator(s) online
:irc.alpha-****.ws 254 Ri0t787441743 7 :channels formed
:irc.alpha-****.ws 255 Ri0t787441743 :I have 48 clients and 1 servers
:irc.alpha-****.ws 265 Ri0t787441743 :Current Local Users: 48  Max: 225
:irc.alpha-****.ws 266 Ri0t787441743 :Current Global Users: 59  Max: 225
:irc.alpha-****.ws 375 Ri0t787441743 :- irc.alpha-accz.ws Message of the Day -
:irc.alpha-****.ws 372 Ri0t787441743 :- 20/8/2008 5:01
:irc.alpha-****.ws 372 Ri0t787441743 :- ircd.motd
:irc.alpha-****.ws 376 Ri0t787441743 :End of /MOTD command.
:Ri0t787441743 MODE Ri0t787441743 :+wxG
/*加入房间、修改用户及房间属性与返回失败信息*/
MODE Ri0t787441743 -x+i
JOIN #ri0t ri0tftw
MODE #ri0t +nt
:irc.alpha-****.ws 302 Ri0t787441743 :Ri0t787441743=+vsqirayixb@219.147.182.149   
:Ri0t787441743 MODE Ri0t787441743 :+i-x
:Ri0t787441743!vsqirayixb@219.147.182.149 JOIN :#ri0t
:irc.alpha-****.ws 482 Ri0t787441743 #ri0t :You're not channel operator
/*查看用户列表*/
:irc.alpha-****.ws 353 Ri0t787441743 = #ri0t :Ri0t787441743 Ri0t029292903 Ri0t563784617 Ri0t805407575 Ri0t875575982 Ri0t688725641
:irc.alpha-****.ws 366 Ri0t787441743 #ri0t :End of /NAMES list.
/*服务器发送连接响应*/
PING :irc.alpha-****.ws
/*回应服务器*/
PONG :irc.alpha-****.ws

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir% 　　　　　 　　　　　  WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　   逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　  系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　   当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　  \当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是%WINDOWS%\System
　　　　windowsXP中默认的安装路径是%system32%　　　

四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1）使用Atool工具结束病毒进程riot.exe        
（2）删除病毒文件
%system32%\riot.exe
（3）删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\System32\riot.exe
值: 字符串: "C:\WINDOWS\System32\riot.exe:*:Enabled:riot bot"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\riot bot
值: 字符串: "riot.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\riot bot
值: 字符串: "riot.exe"