DOS.Hack.SdBot

病毒别名：Backdoor.SdBot.gen[AVP]

处理时间：

威胁级别：★★

中文名称：山德机器

病毒类型：黑客程序

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

编写工具:

vc编写,upx压缩

传染条件:

通过irc和KaZaA共享目录进行传播,诱使用户下载并误运行

发作条件:

利用了下列漏洞:DCOM RPC: TCP 端口 135

Windows Local Security Authority Service 缓冲区溢出漏洞

系统修改:

1,拷贝自身到:%System%文件名随机

2,向注册表添加:

HKEY_CURRENT_USERSOFTWAREKAZAALocalContent

"dir0"="012345:<设定的共享目录>"

来设定KaZaA的共享路径

3,拷贝自身到设定好的共享目录来诱使别的用户下载

4,可对预定设计的地址进行dos攻击

5,结束预先设定的进程,如常见反病毒软件进程

6,链接到预定的irc频道并接受远程命令

7,向注册表添加:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

RunOnce

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

RunServices

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

键值如(两项名字都有变动):

"Microsoft Update" = "wuamgrd.exe"

8,记录用户的击键记录并收集本机的一些常见信息,通过irc发送到预先指定的频道.

9,在随机端口开设后门

10,通过rpc和lass溢出漏洞进行远程传播.

发作现象:

病毒防火墙和网络防火墙会悄悄退出或变灰

特别说明:

利用了两个漏洞,建议用户打上常见漏洞的补丁或定时更新windows