簡介
Win32.Hack.SdBot.cz
病毒別名: 處理時間:2005-07-20 威脅級別:★★★
中文名稱:Bot幽靈 病毒類型:黑客程式 影響系統:
病毒行為
病毒會嘗試通過弱密碼登入目標系統。病毒還會在感染的電腦上打開後門接收攻擊者發出的指令,然後連線特定的IRC伺服器通知攻擊者病毒的存在。病毒會掃描網段內的機器並猜測共享密碼,占用大量網路頻寬資源,容易造成區域網路阻塞。它通過IRC伺服器接受攻擊者發出的指令,例如安裝/卸載後門、下載並運行檔案、結束進程、運行代理伺服器、盜取流行遊戲的帳號、對指定的IP進行DoS(拒絕服務)攻擊等。這次的變種還會釋放並安裝一個驅動模組rdriv.sys(Troj.Rootkit.l),該模組用於隱藏445連線埠,使得病毒主程式在訪問連線埠時不會被網路防火牆發現。同時病毒還會隱藏自身進程,使其從任務管理器中消失。由於病毒使用了高度隱藏技術,因此用戶中招後很難察覺,最終淪為網路殭屍,被黑客完全操縱。
1、將自身複製到以下目錄
%SystemRoot%\extel.exe
2、釋放以下驅動檔案
rdriv.sys(用於隱藏自身進程,及445連線埠)
3、添加以下服務:
Externtelecom
用於每次開機時,啟動自身
4、通過IRC登錄伺服器,接受黑客控制,控制命令如下:
all
login
l
threads
t
sub
kill
k
logout
lo
who
remove
bye
testdlls
cel
uptime
up
installed
it
version
v
status
s
secure
sec
unsecure
unsec
process
ps
list
kill
del
hide
create
nickupdate
nu
randnick
rand
exploitftpd
eftpd
socks4
s4
redirect
rd
speedtest
speed
netstatp
nsp
sniffer
sniff
iestart
ies
encrypt
enc
join
j
part
p
raw
r
prefix
pr
resolve
dns
currentip
cip
stats
st
banner
ban
advscan
asc
scanall
sa
lsascan
lsa
ntscan
nts
wksescan
wkse
wksoscan
wkso
flusharp
farp
flushdns
fdns
pstore
pst
sysinfo
si
netinfo
ni
driveinfo
di
total
t
mb
gb
mirccmd
mirc
system
sys
file
f
type
cat
exists
ex
del
rm
rmdir
move
mv
copy
cp
attrib
at
open
op
down
wget
update
upd
if
i
else
e
nick
n
host
h
id
uptime
up
recordup
rup
private
p
status
5、使用密碼錶進行猜解管理員帳號:
admin
root
0
1
111
12
123
1234
12345
123456
654321
!@#$
!@#$%
!@#$%^
!@#$%^&
asdf
asdfgh
server
專殺 http://tool.duba.net/zhuansha/154.shtml
更多專殺http://tool.duba.net/zhuansha/