病毒名称:
Backdoor.Spyboter.cy
类别: 后门病毒
病毒资料:
破坏方法:
spyboter病毒变种。是一种IRC后门,UPX压缩。集黑客,蠕虫,后门功能于一体。
该病毒与今年较为流行的bot病毒相近,但内部复杂度不高,应该是bot病毒的前期版本。
病毒运行后将自己拷贝到系统目录下,文件名为winsvc.exe。
该病毒没有写注册表启动项,所以,病毒进程退出后不会再启动。
创建名称为"x333x700"的互斥体,保证同一时刻只有一个病毒实例在运行。
病毒监听本地113号TCP端口等待远程连接。黑客连接上来以后病毒发送IRC聊天室地址信息给黑客,黑客根据这个地址登陆到IRC服务器特定频道,开始与病毒进行会话。
每隔5秒钟尝试登陆特定IRC服务器的特定频道,准备接受黑客控制。与黑客在聊天室进行交互,看起来病毒就像一个聊天机器人。黑客发出指令,病毒接收后在本地做相应执行,然后将执行结果发会给黑客。
黑客可发指令让病毒销毁自己,病毒生成脚本文件
@echo off
:start
if not exist ""%1"" goto done
del /F ""%1""
del ""%1""
goto start
:done
del /F %temp% s.bat
del %temp% .bat
退出进程执行脚本后病毒被删除。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-17
