Backdoor.Spoobot.a.enc

病毒名称:

Backdoor.Spoobot.a.enc

类别： 后门病毒

病毒资料：

破坏方法：

后门程序。遍历本地进程信息，连接外部主机。

后门与黑客程序。将自己拷贝到系统目录下，修改以下5处注册表

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

RealPlayer : ％SysDir％％CurFile％

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

realplayer : ％SysDir％％CurFile％

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

realplayer : ％SysDir％％CurFile％

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

realplayer : ％SysDir％％CurFile％

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

realplayer : ％SysDir％％CurFile％

这样病毒就能随着每次开机而启动。

删除HKLM\Software\Microsoft\Windows\CurrentVersion\Run子键下面名称为

EXPlorer，TaskMon，

messnger的项。

创建名字为“hawk”的互斥体，保证只有一个病毒实例在运行。

搜索进程的exe模块，杀死包含下列字符串的进程

NMAIN，ANTIV，GTBOT，SDBOT，NOPDB，NVSVC，NPROT，VSHW，F-PROT，VIRUS，

SCAN，NORTON，

ZOME，WINROUTE

这样，不少著名反病毒软件就被结束了。

尝试连接外部主机

stine.dynup.net，stine.dyns.be，stine.ma.cx，stine.45z.com，

stine.kicks-ass.org，

stine.mine.nu，stine3.ath.cx，stine.yaboo.dk，stin3.lir.dk，

stine.kyed.com，

stine.dyndns.dk，stine.dyn.ph，stine.dyn.ro，stine.virulent.info，

stine.blazingweb.net...

搜索本地局域网机器，内部附有IPC口令字典，用户对机器密码比较粗心会导致被攻破。攻破后病毒将自身拷贝到其他机器的startup目录下。

内部附带了sysinternal公司的PSTools工具集中的工具PSExec，可以启动远程进程。

打开后门与黑客控制端通信。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2004-6-10

• ·Backdoor.Grabilka.enc
• ·Backdoor.SdBot.db.enc
• ·Backdoor.SdBot.dc.enc
• ·Backdoor.SdBot.mi
• ·Backdoor.Sdbot.df
• ·Backdoor.Pointex.d.enc
• ·Backdoor.Dumador.a.enc
• ·Backdoor.Dumador.f
• ·Backdoor.IRCBot.RPC
• ·Backdoor.Nethief.51.m