Backdoor/SdBot.ce
别 名:W32.HLLW.Moega,W32/Sluter.worm.gen,Backdoor.Sdbot.gen, W32/Sdbot.worm.gen
病毒长度:变长
病毒类型:后门
危害等级:*
影响平台:Win9X/2000/XP/NT/Me
Backdoor/SdBot.ce通过局域网传播,尝试打开139和445端口盗取系统信息。该病毒及其变种一般经过UPX或PeCompact压缩,它执行时从图标上看很像是Windows XP系统的更新文件。
传播过程及特征:
1.在系统目录下复制自身,可能是下列文件名:
%System%Wupdated.exe
%System%Mplupdate.exe
%System%winhop32.exe
%System%Svchost45.exe
2.修改注册表:
添加下列键值:
"Configuration Loaded" = "wupdated.exe"
"Windows Update" = "mplupdate.exe"
"WINHOP32" = "winhop32.exe"
"Generic Host Process" = "svchost45.exe"到启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
3.获取被感染机器的IP地址,然后尝试对局域网同一网段内的所有计算机进行感染。
4.试图用下列用户名和口令登录局域网里的其它计算机:
用户名:
wwwadmin
user
system
sqlagent
sql
root
owner
guest
database
administrator
admin
口令:
654321
123456
1234
123
111
1
wwwadmin
user
system
sqlagent
sql
server
secret
root
password
password123
pass
pass123
owner
hidden
guest
database
asdfgh
asdf
administrator
admin
一旦登录成功,它会将自身复制到其它计算机系统。
5.开放139和445端口,并盗取一些流行游戏的CD key。
Red Alert 2
IGI 2
Command & Conquer Generals
FIFA 2003
Need For Speed Hot Pursuit 2
The Gladiators
Soldier of Fortune II
Rainbow Six III RavenShield
Battlefield 1942 Road To Rome
Battlefield 1942
Counter-Strike
Unreal Tournament 2003
Half-Life
6.获取计算机的一些信息,比如:操作系统,系统内存的大小,硬件的配置类型等。
7.连接一个IRC服务器并下载黑客指定的一些文件,还可以对黑客指定的某些站点进行DoS(拒绝服务)攻击。