蠕虫病毒Win32.ForBot.SM

病毒名称：蠕虫病毒Win32.ForBot.SM

其它名称：Troj/Bckdr-QDK (Sophos), Backdoor:Win32/Rbot!94F9 (MS OneCare), W32/Sdbot.worm (McAfee), W32.Spybot.Worm (Symantec), W32/Wootbot!ITW#163 (WildList), Backdoor.Win32.Wootbot.dp (Kaspersky)

病毒属性：蠕虫病毒 危害性：高危害 流行程度：中

具体介绍：

病毒特性：

Win32/ForBot.SM来自一族配置后门的特洛伊病毒和允许攻击者访问被感染机器的蠕虫。这类病毒能够通过IRC被指示执行很多恶意功能。

Win32/ForBot.SM是大小为86,712字节的Win32可运行程序，带有以下特征：

运行时，它复制"ipredirect.exe"到%System%目录，并安装一个服务：

Service name: IPRedirect professional

Display name: IP Packet Redirect Service

Path to executable: %System%ipredirect.exe

Startup type: Automatic

它还设置以下注册表键值，以确保在系统启动时运行病毒：

HKCUSoftwareMicrosoftWindowsCurrentVersionRunIP Packet Redirect Service = "ipredirect.exe"

HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceIP Packet Redirect Service = "ipredirect.exe"

HKLMSoftwareMicrosoftWindowsCurrentVersionRunIP Packet Redirect Service = "ipredirect.exe"

HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceIP Packet Redirect Service = "ipredirect.exe"

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesIP Packet Redirect Service = "ipredirect.exe"

注：'%System%'是一个可变的路径.病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32； 95，98 和 ME 的是C:WindowsSystem;；XP 的是C:WindowsSystem32。

清除：

KILL安全胄甲Vet 30.7.3573 版可检测/清除此病毒。