病毒屬性
病毒名稱:Backdoor.Win32.SdBot.afg病毒類型:後門類
危害等級:中
檔案長度:69,632 位元組
檔案MD5:70CD79E91FB5AD6B7FF3FB424C089B6A
公開範圍:完全公開
感染系統:Win9x以上所有版本
加殼類型:PE_Patch、UPX
開發工具:Microsoft Visual C++ 6.0
病毒描述:
該病毒屬後門類。為了迷惑用戶,修改了自身的資源檔案,冒充Microsoft Corporation的Windows Help Service檔案。病毒運行後在%\System32\%釋放病毒副本hp-100311.exe,並會修改創建時間與修改時間,並設定自身為隱藏屬性,以達到隱藏病毒體的目的。在%\windir\%下釋放uninst.exe檔案。之後修改註冊表檔案,添加到啟動項,以達到開機自動運行的目的。而後會掃描區域網路的所有電腦,隨機連線它們135、139、445連線埠,打開本機許多連線埠,傳送SYN_SENT包,等待連線請求,以達到感染其它電腦的目的。並會連線到***.***.207.6:8585,等待連線。
行為分析:
1、該病毒運行後在系統目錄下釋放檔案。
%\Windir\ %uninst.exe
%\System32\ %hp-100311.exeBackdoor.Win32.SdBot.afg
2、該病毒運行後,會打開本地計算機的TCP協定的若干連線埠,其中打開1054連線埠,等到下列地址連線.
***.***.207.6:8585
3、新建註冊表項:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
File Mapping ServicesWindows Help ServiceMicrosoft Corporationc:\winnt\system32\hp-1003.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
File Mapping ServicesWindows Help ServiceMicrosoft Corporationc:\winnt\system32\hp-1003.exe
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
與病毒名稱同名進程.
(2) 刪除病毒檔案
%\Windir\%uninst.exe
%\System32\ %hp-100311.exeBackdoor.Win32.SdBot.afg
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
File Mapping ServicesWindows Help ServiceMicrosoft Corporatc:\winnt\system32\hp
1003.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
File Mapping ServicesWindows Help ServiceMicrosoft rporationc:\winnt\system32\hp-1003.exe
