Backdoor.Win32.Rbot.bmr 病毒详细信息

win32.Rbot是一种利用IRC控制后门的病毒（或称bot），可以未经授权进入受感染的机器。它也具有类似蠕虫的功能，可以通过弱口令进入共享，并利用很多不同的软件漏洞进行传播，同时可以利用其它的恶意程序生成的后门进行传播。Rbot有很多种变体，它的可配置性高，发展的也很快，但是不同变体的核心功能是一致的。

Rbot的各种变体是以不同格式加壳的Win32可运行程序。它带有以下特征：

运行时，会修改注册表键值，以确保在每次系统启动时运行病毒体：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
蠕虫还会修改以下注册表：
HKLM\SOFTWARE\Microsoft\Ole\
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
HKCU\SOFTWARE\Microsoft\Ole\
HKCU\SYSTEM\CurrentControlSet\Control\Lsa\

监听本地某些TCP端口，等待连接，实现后门功能。

连接特定IRC服务器的特定频道（比如：real.profess.us 的 64444 端口 ），接受黑客控制，发送本地系统信息。接收黑客发来的命令在本地执行。并将执行结果发回IRC聊天频道。建立通讯后，接收远程控制命令。
1.建