winmon.exe

BackDoor.RBot.aaa
破坏方法：RBot变种。

集黑客，蠕虫，后门功能于一体。通过局域网共享目录和利用系统漏洞进行传播。
体内带有弱口令字典，用户如不注意设定密码则系统很容易被攻破。
写了注册表启动项，每次开机病毒都能启动。
运行后连接特定IRC服务器的特定频道，接受黑客控制，发送本地信息。
接收黑客发来的命令在本地执行。并将执行结果发回IRC聊天频道。
病毒会扫描网段内的机器并猜测共享密码，会占用大量网络带宽资源，容易造成局域网阻塞。
一、IRC（Internet Relay Chat）连接。
试图通过"***ccc.oxyww.com" 的TCP 34601 端口建立通讯。
二、文件和注册表
1. 复制自己到系统目录，命名为“system.exe”。
2. 在下列键添加启动项“Login”使病毒随Windows的启动而自动运行。每隔一分钟进行一次修改。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\RunServices
3. 修改系统设置。每隔两分钟进行一次修改。
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE\EnableDCOM = N
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl