病毒名称：Backdoor.Win32.Rbot.crm（Kaspersky）
病毒别名：Trojan.Win32.Agent.vcw（瑞星）
　　　　　 Win32.Hack.Rbot.148992（毒霸）
病毒大小：148,992 字节
加壳方式：
样本MD5：bd98180f82d6546e4c58adbf107becc8
样本SHA1：f12b7eaa853ed8ef8f600e47b0cb545e2b51a26b
发现时间：2007.8
更新时间：2007.8
关联病毒：
传播方式：通过MSN传播

技术分析
==========

变种：

病毒向MSN联系人发送消息和伪装成照片的带毒压缩包，当对方联系人接收并打开压缩包中的文件时系统受到感染。

病毒被运行后在系统目录生成副本：
%System%\s2.exe

创建启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sy"="s2.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"sy"="s2.exe"

[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"sy"="s2.exe"
并不断重写启动信息。

连接网络下载包含病毒的zip压缩包到系统目录下：
%Windows%\pics.zip
压缩包内文件名new_photos-imageshack.com。

使用C:\a.bat批处理修改系统设置降低系统安全性，尝试连接远程IRC服务器cromlech.opendns.be，可能进行DDoS攻击、键盘记录、下载恶意程序、盗密码和游戏序列号等操作。

向MSN联系人发送消息和伪装成照片的带毒压缩包%Windows%\pics.zip：

Kijk naar dit
mire esto
regarder ceci
Schauen Sie dies an
holy shit your in trouble look at this
look what i found on my dads computer :O
haha look at this pictures, its that girl from school
OMG have you seen these pictures yet!?
lol is this u?
i cant believe this, someone got a pic of me naked
omg wtf look at this
lol is this u naked?
LOL, you look so ugly in this picture, no joke...
Should I put this on facebook/myspace?
Hey m8, who is this on the right, in this picture...
Sup, seen the pictures from the other night?
病毒还会结束一些其它蠕虫病毒进程和安全软件进程。

Mutex: nignog

清除步骤
==========

到down.45its.com下载sreng2.zip（作为备用）和IceSword120_cn.zip(以下简称冰刃)

1. 结束病毒进程（使用冰刃结束即可）：
%System%\s2.exe

2. 删除病毒文件（打开冰刃－文件－依次找到病毒文件删除即可）：
%Windows%\pics.zip
%System%\s2.exe

3. 删除病毒启动项（打开冰刃－注册表－依次找到病毒注册表选项删除即可）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sy"="s2.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"sy"="s2.exe"

[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"sy"="s2.exe"