病毒类型:蠕虫
病毒大小:188928字节,124416字节
传播方式:网络
危害程度:★★★
2005年2月3日,江民反病毒中心截获MSN性感鸡(MSN.DropBot.b)病毒I-Worm/MSN.DropBot.b,它可以释放出“罗伯特”后门病毒的最新变种Backdoor/RBot.zj。
“罗伯特”病毒家族及其近亲Backdoor/Agobot家族可以使用户系统可被黑客完全控制,成为“僵尸电脑”。并能够通过多种系统漏洞和弱口令传播,感染能力极强。2004年江民公司截获该类病毒近3000个变种。最新变种增加通过MSN传播的功能,感染性更胜以前。
病毒具体技术特征如下:
1.自动向用户所有MSN好友发送带毒文件,可能的文件名有:
LOL.scr
Webcam.pif
bedroom-thongs.pif
naked_drunk.pif
LMAO.pif
ROFL.pif
underware.pif
Hot.pif
new_webcam.pif
2.中毒后显示如下图片: 
3. 释放“罗伯特”病毒最新变种程序winhost.exe。winhost.exe运行后,会将自身复制到%SystemDir%\winhost.exe(124416字节),并在注册表启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
中添加:
"win32" = "winhost.exe"
这样,系统每次启动时,病毒都可以自动运行。
4. 和以前变种类似,病毒程序winhost.exe会通过微软的WebDav漏洞、冲击波漏洞、震荡波漏洞和管理员帐号弱口令等途径传播。并从IRC上接收黑客命令,使被感染计算机完全被黑客控制,成为“僵尸电脑”。
针对该病毒,江民公司已经在第一时间升级,请广大用户立即升级到2月3日病毒库,不要从MSN上接收运行不明程序,保护您的系统免受该病毒的侵害。
