簡介
Backdoor/SdBot.gt病毒長度:41KB
病毒類型:後門
危害等級:*
影響平台:Win9X/2000/XP/NT/Me/2003
Backdoor/SdBot.gt是用VisualC++編寫並經UPX壓縮過的後門病毒,通過容易破解密碼的網路共享進行傳播,並在特定的IRC伺服器的一個IRC頻道接收指令。達到未經授權便可以遠程訪問感染病毒計算機的目的。
傳播過程及特徵:
1.複製自身為:
%System%\LanNSvc.exe
2.試圖對計算出的任意IP位址進行感染。首先利用NetUserEnum() API函式列舉出一個用戶名單,然後企圖用內置密碼庫里的密碼進行登入。蠕蟲會努力嘗試利用每一個用戶名進行登入直到成功,否則便鎖定此帳號。一旦成功便在感染病毒的計算機上複製自身:
\\<目標IP>\Admin$\%System%\GT.exe
\\<目標IP>\c$\%System%\GT.exe
3.遠程控制蠕蟲在感染計算機上運行的時間。
4.修改註冊表:
添加鍵值"TCP Monitoring"="LanNSvc.exe"到啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
5.連線特定IRC伺服器上的一個IRC頻道,在此接受如下指令:
執行DDos(分散式拒絕服務)攻擊,攻擊的方式為SYN Flood、 ping Flood 或 UDP Flood
收集被感染計算機的相關信息,比如:CPU頻率、記憶體大小等
掃描區域網路內管理員口令設定較簡單的計算機,並在該系統下複製自身
收集一些流行遊戲的CD Key並傳送它們到IRC頻道
下載並運行檔案
6.盜取遊戲的CD Key。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP)。
