特洛伊木马 Win32.Rawbot.P 病毒档案
(冠群金辰)

病毒名：Win32.Rawbot.P
别名：Backdoor.SdBot.ek,
Backdoor.SDBot.Gen (Symantec),
BackDoor-AZV (McAfee)
种类：Win32
类型：特洛伊
传播性：低
破坏性：高
普及性：无

特性：
Win32.Rawbot.P特洛伊是一个IRC控制后门。它自己不能传播。这个文件是一个18，548字节的Win32可执行文件，并且使用REALPLAYER图标。

感染方式：
Rawbot.P建立并检查一个互斥体避免其多个在同时运行。
提示：互斥体是一个允许多条路径共享相同资源的问题类。
当运行时，特洛伊把自己拷贝到：
%System%\Mstask32.exe
并且在注册表里添加以下键值以确保在WINDOWS启动时运行：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Mstask32driver= "Mstask32.exe"

提示：’%system%’是一个可变地址。特洛伊根据操作系统确定它的位置。Win2000/nt的默认安装位置是：c?\winnt\system32；对于95,98是c:\windows\system;对于XP是c:\windows\system32.
特洛伊检查是从’%system%’目录运行。如果不是，它现实一个欺骗信息，拷贝自己到'%System%\Mstask32.exe'，并且执行这个文件，稍候删除。

欺骗信息的显示掩盖了它的运行：
Error-38427
A valid dll file was not found, Windows is now deleting file

功能：
后门功能

Rawbot.P通过5000端口连接到IRC服务器来按指令监听。一旦连接上，特洛伊命令被感染机器执行一个任务，包括：
■ 杀死线程和服务
■ 重命名，删除或执行文件
■ 建立或者删除文件夹
■ 按指定清单执行拒绝访问攻击
■ 下载文件
■ 找到系统信息（比如CPU，内存，操作系统和其他）
■ 监听正在运行的程序
■ 移除它自己

检测/清除：
KILL安全胄甲 v 23.63.84 (Inoculan IT 引擎) v 11.2x/8116(vet引擎)、KILL98/2000 45.84 可检测/清除此病毒。