Win32.Hack.SdBot.x

病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：黑客程序

影响系统：Win9x / WinNT

病毒行为:

该病毒是一个远程控制工具,通过共享网络传播.当用户机器感染该病毒时,该病毒允许恶意攻击者通过IRC控制被感染机器(其中包括:下载并执行文件,删除文件,发动DDos攻击以及窃取敏感信息等).

1.复制自身到系统目录下

%System%svhost6.exe

2.在注册表项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

RunServices

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

下增加值: Microsoft Synchronization Manager = svhost6.exe

使得病毒可以随计算机的启动而自动运行

3. 扫描网络上的共享资源并发动弱密码攻击,如果成功则传播自身.

4.扫描被Mydoom感染的机器,如果找到,则通过后门传播自身

5.开启后门,允许恶意攻击者通过IRC控制被感染的机器,如:

下载并执行文件

扫描网络

显示,启动,停止进程

发动Dos攻击等

6.窃取用户敏感信息并通过Email发送到攻击者的邮箱