Win32.Troj.Sdbot.ge

病毒别名：

处理时间：

威胁级别：★★

中文名称：山德机器

病毒类型：木马

影响系统：Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行为:

编写工具:

Delphi编写,Morphine压缩

传染条件:

用户误运行或者系统密码过于简单

发作条件:

运行后会在系统开设后门,同时盗取本机安装的一些常见游戏的正版cdkey.

系统修改:

1,将自身注册为服务

2,通过打开互斥体Moo来防止多重运行

3,拷贝自身:

%System%Msnss.exe

%System%Msgfix.exe

4,添加注册表键值:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

"Configuration Loader" = "msnss.exe"

"Configuration Loader" = "msgfix.exe"

5,暴力攻击局域网内的共享目录密码,成功后拷贝自身到:

IPC$msgfix.exe

D$msgfix.exe

print$msgfix.exe

c$msgfix.exe

Admin$msgfix.exe

c$windowssystem32msgfix.exe

c$winntsystem32msgfix.exe

Admin$system32msgfix.exe

6,扫描是否有感染mydoom的机器,发现后利用mydoom开设的后门进行传播:

拷贝自身为Msgfix.exe,并执行.

7,攻击者可以利用预先的IRc频道控制被感染机器,包括:

下载并执行文件

扫描网络

列举,启动和停止进程

删除,建立和列举文件

对特定地址进行dos攻击

查看本机系统信息

8,偷取下列正版cdkey:

Command & Conquer Generals

FIFA 2003

Need For Speed Hot Pursuit 2

Soldier of Fortune II - Double Helix

Neverwinter

Rainbow Six III RavenShield

Battlefield 1942 Road To Rome

Project IGI 2

Counter-Strike

Unreal Tournament 2003

Half-Life

发作现象:

被感染机器会存在以下文件:

%System%Msnss.exe

%System%Msgfix.exe

特别说明: