Backdoor/Sdbot.kv

Backdoor/Sdbot.kv

病毒长度：变长

病毒类型：后门

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

Backdoor/Sdbot.kv通过网络共享和弱密码进行传播，还利用Mydoom安装的后门复制自身进行传播。病毒允许攻击者利用特定的IRC频道访问感染的计算机。

传播过程及特征：

1.将自身注册为一项服务。

2.复制自身为：

%System%Msnss.exe

%System%Msgfix.exe

3.修改注册表：

添加键值：

"Configuration Loader" = "msnss.exe"

"Configuration Loader" = "msgfix.exe"

到注册表启动项：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

4.定位网络中的用户，企图用内置的密码登陆到共享源，一旦成功，便复制自身到共享目录下：

IPC$msgfix.exe

D$msgfix.exe

print$msgfix.exe

c$msgfix.exe

Admin$msgfix.exe

c$\%System%msgfix.exe

Admin$system32msgfix.exe

5.允许攻击者利用特定的IRC频道访问感染的计算机，并可以有下列操作：

下载并执行文件

扫描网络

进程操作(如：开始、结束、列出进程)

控制系统(如：删除、创建、列出文件)

执行DoS攻击

重定向端口

盗取系统信息并发送给攻击者

6.盗取一些流行游戏的CD Keys：

Command & Conquer Generals

FIFA 2003

Need For Speed Hot Pursuit 2

Soldier of Fortune II - Double Helix

Neverwinter

Rainbow Six III RavenShield

Battlefield 1942 Road To Rome

Project IGI 2

Counter-Strike

Unreal Tournament 2003

Half-Life