病毒别名:Backdoor.Spyboter.gen 【AVP】 Backdoor.Spyboter.dc 【KV】
处理时间:
威胁级别:★
中文名称:间谍波特变种
病毒类型:木马
影响系统:Win9X/ME/2000/XP/NT/2003
病毒行为:
编写工具:
传染条件:
发作条件:
系统修改:
A、将复制自己为%System%(9X的%SystemRoot%system 或 NT/2K的%SystemRoot%system32)如下文件并立即执行:
%System%
undll.exe
B、在注册表主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
添加一下键值:
"Windows32 Config"="rundll.exe"
可能在注册表主键:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加一下键值:
"Windows32 Config"="rundll.exe"
发作现象:
A、在113端口开放TCP后门,连接到某些网址的6667端口,10448端口等高端端口。
B、病毒以特定的昵称登录到Mirc服务器的特定频道(amsterdam.nl.eu.undernet.org,eu.undernet.org,us.undernet.org)。以方便作者对
其进行控制控制者可以查询当前系统的硬件信息和系统信息:如:操作系统版本、CPU频率,内存信息,系统运行时间,当前日期,当前登陆用户,IP地址、计算机名
,Windows安装目录,系统目录等。
C、病毒驻留内存并启动一个监视线程,遍历系统进程例表。杀死和病毒体内的黑名单中相符的进程。
D、它可以进行DoS攻击。
E、记录键盘操作,在系统文件夹下生成记录文件。
F、局域网传播:
病毒尝试进行简单的ipc密码猜测。一当成功。病毒将自己复制到以下路径中。
WINDOWSAll UsersStart MenuProgramsStartUp
WINNTProfilesAll UsersStart MenuProgramsStartup
WINDOWSStart MenuProgramsStartup
Documenti e ImpostazioniAll UsersStart MenuProgramsStartup
Dokumente und EinstellungenAll UsersStart MenuProgramsStartup
Documents and SettingsAll UsersStart MenuProgramsStartup
病毒体内的密码例表:
guessme,youwontguessme,uwontguessme,mirc,kiddie,scriptkiddie,script,hax0r,hacker,l337,l33t,
leet,killer,0wn3d,w00t,heaven,spaceman,satanic,satanik,satan,gobo,Matthew,Matt,Mat,
pw,mypass123,mypass,pw123,admin123,mypc123,mypc,love,pwd,Login,login,owner,home,
zxcv,yxcv,qwer,secret,asdf,pc,win,test123,abc,aaa,foobar,god,sex,administrator,pat,
patrick,alpha,007,test,temp,temp123,changeme,123abc,1234qwer,123123,121212,111111,
110,2600,2003,2002,xp,enable,godblessyou,ihavenopass,123asd,super,Internet,computer,
server,123qwe,sybase,oracle,abc123,abcd,database,passwd,pass,88888888,11111111,
111,54321,654321,123456789,12345678,1234567,123456,12345,1234,123,12,crash,fucked,
netfuck,irule,Password,password,Admin,admin,own,owned,0wned,root等等
G、盗取某些游戏的CD-KEY,如Half-Life,CounterStrike。
特别说明: