Backdoor/R3C.b

Backdoor/R3C.b

病毒类型：后门

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

Backdoor/R3C.b是用Delphi编写的后门程序并经UPX压缩，允许黑客未经授权访问感染的计算机，默认打开端口9870。

传播过程及特征：

1.首先检查注册表：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion

下的键值："ICM version"，确认其版本号高于125才会开始执行。

2.复制自身为：

%Windir%\\Winsock.exe

%System%\\ipmon.exe

3.修改注册表：

/Windows 95/98/Me

添加键值："ipmon.exe"="C:\\WINNT\\system32\\ipmon.exe"

到注册表：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

/Windows NT/2000/XP

修改注册表：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\WindowsNT\\Winlogon

下的键值："Shell"="Explorer.exe" 为："Shell"="Explorer.exe Winsock.exe"

4.创建一个线程用来持续进行复制文件和监测注册表键值操作，并试图发送系统的IP地址给黑客，邮件的主题可能是变化的，默认为"R3c server-IP"。

5.作为后门程序，可以进行下列操作：

给黑客传送系统和网络信息

修改系统配置

打开/关闭CD-ROM驱动器

文件操作，包含：执行，复制，删除，重命名等