Backdoor.HawkBot.a

病毒名称:

Backdoor.HawkBot.a

类别： 后门病毒

病毒资料：

破坏方法：

这是一个蠕虫。采用Delphi编写。主要通过猜测主机的登陆账户和密码进行传播。与最近流行的Rbot,Sdbot病毒很接近，不同的是编写的语言不一样。作者应该也不同。

首次运行时将自己拷贝到C盘根目录，文件名为~tmp4265.exe，并写注册表项：

HKLM\Software\Microsoft\Windows

\CurrentVersion\Run

Win Loader : C:\~tmp4265.exe

这样可以保证病毒能够随着开机而自启动。

病毒每次启动都会主动连接tehsex.no-ip.com，这是一个色情站点。病毒通过这样的方法来增加网站的访问量。

对系统有破坏行为，主要体现在删除以下文件：

C:\Program Files\Adobe\Photoshop 6.0\Photoshp.exe

C:\Program Files\AIM\aim.exe

C:\Program Files\Ahead\Nero\nero.exe

C:\Program Files\Call of Duty\CoDSP.exe

C:\Program Files\Borland\Delphi6\Bin\delphi32.exe

C:\Program Files\EA Games\Command and Conquer Generals

\generals.exe

C:\Program Files\iTunes\iTunes.exe

C:\Program Files\KASPersky Lab\Kaspersky Anti-Virus Personal\Avp32.exe

C:\Program Files\Kazaa Lite K++\klrun.exe

.......

病毒还偷盗一些游戏和软件的序列号信息，如：

CounterStrike Retail，

C&C Generals，

Black and White，

Global OperationsIGI2 - Covert Strike,

Freehand MX,Dreamweaver MX....

病毒通过猜密码传播自身，候选密码不多，但都是比较常见的简单密码，如：

1234，

passWord，

word，6969，

harley，rley，

123456，3456，

golf，pussy，

mustang，

tang，

1111，

shadow，

adow，

1313，

fish，

5150，

7777，

qwerty，

erty，

baseball，

ball......

由于产生的线程很多，病毒非常占资源，系统运行将会很缓慢。

病毒还主动连接IRC服务器，去接受黑客控制。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2004-12-23

• ·Backdoor.Win32.Small.ij
• ·Backdoor.Rbot.abb
• ·Backdoor.mIRC.j
• ·Backdoor.Rbot.adx
• ·Backdoor.Nexactbot
• ·Backdoor.Afcore.ao
• ·Backdoor.Agobot.3.a.enc
• ·Backdoor.Agobot.3.b.enc
• ·Backdoor.Delf.bv.enc
• ·Backdoor.Sdbot.amh