Backdoor/SdBot.gt
Backdoor/SdBot.gt
Backdoor/SdBot.gt
病毒长度:41KB
病毒类型:后门
危害等级:*
影响平台:Win9X/2000/XP/NT/Me/2003
Backdoor/SdBot.gt是用Visual C++编写并经UPX压缩过的后门病毒,通过容易破解密码的网络共享进行传播,并在特定的IRC服务器的一个IRC频道接收指令。达到未经授权便可以远程访问感染病毒计算机的目的。
传播过程及特征:
1.复制自身为:
%System%\\LanNSvc.exe
2.试图对计算出的任意IP地址进行感染。首先利用NetUserEnum() API函数列举出一个用户名单,然后企图用内置密码库里的密码进行登陆。蠕虫会努力尝试利用每一个用户名进行登陆直到成功,否则便锁定此帐号。一旦成功便在感染病毒的计算机上复制自身:
\\\\<目标IP>\\Admin$\\%System%\\GT.exe
\\\\<目标IP>\\c$\\%System%\\GT.exe
3.远程控制蠕虫在感染计算机上运行的时间。
4.修改注册表:
添加键值"TCP Monitoring"="LanNSvc.exe"到启动项:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce
5.连接特定IRC服务器上的一个IRC频道,在此接受如下指令:
执行DDos(分布式拒绝服务)攻击,攻击的方式为SYN Flood、 ping Flood 或 UDP Flood
收集被感染计算机的相关信息,比如:CPU频率、内存大小等
扫描局域网内管理员口令设置较简单的计算机,并在该系统下复制自身
收集一些流行游戏的CD Key并发送它们到IRC频道
下载并运行文件
6.盗取游戏的CD Key。
注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt;
%System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me),
C:\\Winnt\\System32 (Windows NT/2000), 或
C:\\Windows\\System32 (Windows XP)。