Cảnh báo virus: W32/Rbot-T

W32/Rbot-T là sâu có khả năng lây nhiễm vào hệ thống thông qua các thư mục hoặc tệp file chia sẻ. Sâu còn chứa một thành phần Trojan, cho phép truy cập trái phép từ xa tới máy tính lây nhiễm thông qua các kênh IRC.

Bí danh: Backdoor.Rbot.gen, W32/Sdbot.worm.gen.h

Ngày xuất hiện: 27/5/2004

Mô tả:

- W32/Rbot-T tự nhân bản vào thư mục hệ thống dưới cái tên NAVSCAN64.EXE;
và để có thể tự động chạy khi hệ thống khởi động, sâu sẽ tạo ra một giá trị trong khóa registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

- W32/Rbot-T có thể tạo ra một số giá trị trong khóa registry như sau:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"

- W32/Rbot-T có thể sẽ xóa định dạng chia sẻ mặc định C$, D$, E$, IPC$ và ADMIN$ trên máy nhiễm virus.

- W32/Rbot-T cũng có thể ghi tác vụ bàn phím và lưu vào một file có tên DEBUG.TXT trong thư mục Windows.

Thứ Sáu, 28/05/2004 09:54
31 👨 113
0 Bình luận
Sắp xếp theo