病毒名称(中文):
山德机器
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
104
影响系统:
Win9xWin2000
病毒行为:
编写工具:
Delphi编写,Morphine压缩
传染条件:
用户误运行或者系统密码过于简单
发作条件:
运行后会在系统开设后门,同时盗取本机安装的一些常见游戏的正版cdkey.
系统修改:
1,将自身注册为服务
2,通过打开互斥体Moo来防止多重运行
3,拷贝自身:
%System%Msnss.exe
%System%Msgfix.exe
4,添加注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
"ConfigurationLoader"="msnss.exe"
"ConfigurationLoader"="msgfix.exe"
5,暴力攻击局域网内的共享目录密码,成功后拷贝自身到:
IPC$msgfix.exe
D$msgfix.exe
print$msgfix.exe
c$msgfix.exe
Admin$msgfix.exe
c$windowssystem32msgfix.exe
c$winntsystem32msgfix.exe
Admin$system32msgfix.exe
6,扫描是否有感染mydoom的机器,发现后利用mydoom开设的后门进行传播:
拷贝自身为Msgfix.exe,并执行.
7,攻击者可以利用预先的IRc频道控制被感染机器,包括:
下载并执行文件
扫描网络
列举,启动和停止进程
删除,建立和列举文件
对特定地址进行dos攻击
查看本机系统信息
8,偷取下列正版cdkey:
Command&ConquerGenerals
FIFA2003
NeedForSpeedHotPursuit2
SoldierofFortuneII-DoubleHelix
Neverwinter
RainbowSixIIIRavenShield
Battlefield1942RoadToRome
ProjectIGI2
Counter-Strike
UnrealTournament2003
Half-Life
发作现象:
被感染机器会存在以下文件:
%System%Msnss.exe
%System%Msgfix.exe
非凡说明: