7月20日，江民反病毒中心率先截获 “罗伯特”新变种alr，该病毒不仅可以盗取用户各大网上银行帐号密码，就连易趣、paypal等网上在线交易帐号也不放过，危害甚大。

　　BackdoorRBot.alr“罗伯特”变种alr是蠕虫BackdoorRBot变种之一。它利用KazaA共享程序及mIRC聊天室进行传播。该蠕虫不仅传播给已经感染后门的用户计算机，而且利用弱口令进行网络共享传播。它通过连接到可组态的IRC服务器和黑客指定站点执行多种后门功能。新变种利用漏洞补丁MS03-026、漏洞补丁MS04-011、漏洞补丁MS03-049(Windows 2000等微软漏洞进行传播。

　　病毒具体技术特征如下：
　　1、自我复制到系统目录下，该变种可能以下列文件名出现
　　Bling.exe
　　Netwmon.exe
　　Wuamgrd.exe

　　2.、在KazaA上创建共享文件夹，修改注册表，在注册表项添加键值：dir0 = 012345[组态路径]，并以可变的文件名的方式复制到指定的路径下，诱导其他用户下载并运行该后门，导致对指定的服务器进行拒绝服务攻击 DoS，按照设置该蠕虫还能终止某些与安全相关的进程。

　　3、连接到特定IRC服务器并接收命令：
　　扫描有漏洞的计算机
　　下载或者上传升级文件
　　列表或终止运行中的进程
　　盗取缓冲区中的密码
　　记录键击，盗取网银或在线交易等指定窗口内输入的信息，特别是当这些Windows 的窗口的标题包含bank、login、e-bay 、ebay 、paypal等字符串时，并将盗取的信息发送到IRC服务器。

　　4、以直接编码的方式自我复制到Windows启动文件夹内，例如：
　　Documents and SettingsAll UsersMenu StartProgramma''sOpstarten
　　WINDOWSAll UsersStart MenuProgramsStartUp
　　WINNTProfilesAll UsersStart MenuProgramsStartup
　　WINDOWSStart MenuProgramsStartup
　　Documenti e ImpostazioniAll UsersStart MenuProgramsStartup
　　Dokumente und EinstellungenAll UsersStart MenuProgramsStartup
　　Documents and SettingsAll UsersStart MenuProgramsStartup

　　5、键入SA密码连接MS SQL服务器，密码验证正确后，该后门自我复制到被感染的计算机里，输入null、Rendszergazda 、 Administrator、Password、123等密码以便进入远程服务器。列出用户名以便进行共享传播，输入007、123456789、bill等密码以便操纵网络共享，如若多次输入错误密码，则导致用户帐户被封。

　　针对该病毒，江民公司已经在第一时间升级了病毒库，请您及时升级KV2005杀毒软件病毒库，开启“木马注册表监视”“隐私保护”，即可全面防杀该病毒，保护您的信息不被盗取。

文章转载地址：http://www.cnpaf.net/Class/Virus/06101013095795527234.html