爱毒霸社区
拒绝当“肉鸡” 保安获大奖!
顽固病毒解决方案大全
一点一滴学电脑应用技巧
毒霸2008教程——清理专家
欺骗是攻击者最热衷的手法
爱毒霸社区推荐安全工具下载
如何使用命令行查毒
远程清除机器狗病毒实战
清理专家在手,菜鸟杀毒不愁
如何判断进程或程序是否安全
windows安全漏洞的解释索引
史上最强磁碟机病毒清除思路
金山ARP防火墙1.2版功能简介
Win32.Hack.Rbot
病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
180736
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个后门病毒,黑客能通过IRC命令控制受该病毒的机器。
1:拷贝文件
病毒被运行后,会把自己拷贝到下面的地址
C:\Windows\system32\javanet.exe
并且加上只读,隐藏,系统三个文件属性。
2:更改注册表
病毒会更改以下三处注册表的值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit -> "C:\WINDOWS\system32\userinit.exe,javanet.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell -> "Explorer.exe javanet.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
MS Java for Windows XP & NT -> "javanet.exe"
3:连接远程机器
病毒会以SYN_SEND的方式连接IP地址为195.205.20.***的远程主机
连接端口号为4915,一但连接成功,客户端就会对远程主机发来的指令
进行控制的行为,指令包括:
SYN
UDP
SCAN
HTTPDoS
Download
Update
KEYLOG
CMD
IMSPREAD
MASSCAN
THREADS
SOCKS4
VISIT