2006年3月2日,江民公司反病毒中心监测到,一个新的瑞波病毒变种(Backdoor/RBot.auv)正在国内迅速蔓延。该变种经过多层压缩加密壳处理,可以利用多种系统漏洞进行传播,感染能力很强。中毒计算机将被黑客完全控制,成为"僵尸电脑"。由于此病毒会扫描感染目标,因此可以造成局域网拥堵。
江民反病毒专家介绍,该病毒具体技术特征如下:
1、变种大小97792字节。使用VC6编写,经过UPX、PECompact、UPack、NSPack四层压缩壳处理。
2、病毒运行后,将创建下列文件:
%SystemDir%\msxml32.exe, 97792字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft XML Parsing Service" = msxml32.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft XML Parsing Service" = msxml32.exe
这样,在Windows启动时,病毒就可以自动执行。
3、连接IRC服务器,接收并执行黑客设置的黑客命令,这些命令可能是任意文件操作、注册表操作、键盘记录、下载执行远程程序、任意网络操作等。
4、通过MS03-007、MS03-026、MS04-011、MS04-031等多种系统漏洞进行传播,感染能力很强。病毒传播过程中,会发送大量网络包,用于扫描局域网内存在漏洞的计算机,可以导致局域网拥堵甚至瘫痪。
江民公司提醒广大用户,请立即升级江民杀毒软件KV系列到3月2日病毒库后,将可以全面查杀该病毒。反病毒专家强调,电脑用户一定要及时升级病毒库,并打开实时监控功能,以免受到病毒侵害。(
