病毒名称(中文):
山德机器变种GE
病毒别名:
Backdoor.SdBot.gen[AVP],Backdoor/Sdbot.fy[KV],W3
威胁级别:
★★★☆☆
病毒类型:
黑客程序
病毒长度:
315392
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:VC++6.0
传染条件:
发作条件:用户误运行该病毒
系统修改:
1.建立互斥体Moo保证只有一个进程在运行,并注册为服务
2.将自身复制到%System%Msnss.exe%System%Msgfix.exe
3.在注册表的子键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
添加启动项"ConfigurationLoader"="msnss.exe"和"ConfigurationLoader"="msgfix.exe"
来实现病毒的开机自启动
4.使用预先设定的密码集尝试登陆网络共享资源,假如成功,复制自身到以下的路径:
IPC$msgfix.exe
D$msgfix.exe
print$msgfix.exe
c$msgfix.exe
Admin$msgfix.exe
c$windowssystem32msgfix.exe
c$winntsystem32msgfix.exe
Admin$system32msgfix.exe
发作现象:
非凡说明:
1.该病毒尝试通过那些弱密码网络共享来传播
2.答应黑客通过指定的IRC频道连接到感染后的机器,从而进行下一步破坏动作
3.通过将自身复制到已经感染Mydoom的机器上,使用Mydoom开启的后门执行该副本