病毒名称(中文):
山德机器
病毒别名:
Backdoor.SdBot.gen[AVP]
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
65024
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
vc编写,upx压缩
传染条件:
通过irc和KaZaA共享目录进行传播,诱使用户下载并误运行
发作条件:
利用了下列漏洞:DCOMRPC:TCP端口135
WindowsLocalSecurityAuthorityService缓冲区溢出漏洞
系统修改:
1,拷贝自身到:%System%文件名随机
2,向注册表添加:
HKEY_CURRENT_USERSOFTWAREKAZAALocalContent
"dir0"="012345:<设定的共享目录>"
来设定KaZaA的共享路径
3,拷贝自身到设定好的共享目录来诱使别的用户下载
4,可对预定设计的地址进行dos攻击
5,结束预先设定的进程,如常见反病毒软件进程
6,链接到预定的irc频道并接受远程命令
7,向注册表添加:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
键值如(两项名字都有变动):
"MicrosoftUpdate"="wuamgrd.exe"
8,记录用户的击键记录并收集本机的一些常见信息,通过irc发送到预先指定的频道.
9,在随机端口开设后门
10,通过rpc和lass溢出漏洞进行远程传播.
发作现象:
病毒防火墙和网络防火墙会静静退出或变灰
非凡说明:
利用了两个漏洞,建议用户打上常见漏洞的补丁或定时更新windows
