疯狂盗取游戏CDKEY：Spybot新变种分析

该病毒可以通过IRC(Internet Relay Chat)频道被远程控制

包含分布式拒绝服务攻击(DDoS)以及后门功能

尝试从受感染计算机盗取机密信息

尝试使用多个漏洞进行散布

其他命名：W32.Spybot.Worm, W32/Sdbot.worm.gen.j [McAfee], Backdoor.Win32.Rbot.gen [Kaspersky]

病毒长度：124,928字节

受影响系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

风险指数：低

破坏能力：中

感染能力：中

该病毒执行时：

1，将自身拷贝为：%System%\sysmsvc.exe

注意：%Windir%文件夹：Windows 95/98/Me系统中默认为：C:\Windows，Windows NT/2000系统中默认为：C:\Winnt，Windows XP系统中为：C:\Windows

2，在如下注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\OLE

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa

添加如下键值：

"MsWindows SysDate" = "sysmsvc.exe"

以便Windows启动时自动运行该病毒

3，尝试打开后门，连接到一个IRC频道服务器：fear.godofthe.net的TCP 8080端口

4，接听攻击者发出的命令执行如下动作：

下载并执行文件

列出、停止以及启动进程

发起拒绝服务(Denial of Service,DoS)攻击

盗取系统信息以及密码并发送给攻击者

重定向端口

通过IRC发送文件

使用自身的SMTP引擎发送email

启动本地Web,FTP或其他有安全隐患的服务器

将键盘按键记录为一个文件

尝试侵入网络共享并拷贝自身

扫描网络中易受攻击的主机

5，扫描计算机并尝试使用如下之一的易受攻击的主机：

使用TCP端口135的Microsoft Windows DCOM RPC接口缓存溢出漏洞(Microsoft Security Bulletin MS03-026)

Microsoft Windows本地安全验证服务远程缓存溢出漏洞(Microsoft Security Bulletin MS04-011)

使用TCP端口445的Microsoft Windows Workstation Service Remote缓存溢出漏洞(Microsoft Security Bulletin MS03-049)

Microsoft Windows SSL库拒绝服务漏洞。(Microsoft Security Bulletin MS04-011)

6，盗取如下游戏的CD-KEY：

Battlefield 1942

Battlefield 1942 (Road To Rome)

Battlefield 1942 (Secret Weapons of WWII)

Battlefield Vietnam

Black and White

Chrome

Command and Conquer: Generals

Command and Conquer: Generals (Zero Hour)

Command and Conquer: Red Alert

Command and Conquer: Red Alert 2

Command and Conquer: Tiberian Sun

FIFA 2002

FIFA 2003

Hidden & Dangerous 2

IGI 2: Covert Strike

Industry Giant 2

James Bond 007: Nightfire

Legends of Might and Magic

Medal of Honor: Allied Assault

Medal of Honor: Allied Assault: Breakthrough

Medal of Honor: Allied Assault: Spearhead

Microsoft Windows Product ID

Nascar Racing 2002

Nascar Racing 2003

Need For Speed Hot Pursuit 2

Need For Speed: Underground

Neverwinter Nights

Neverwinter Nights (Shadows of Undrentide)

NHL 2002

NHL 2003

NOX

Rainbow Six III RavenShield

Shogun: Total War: Warlord Edition

Soldier of Fortune II - Double Helix

Soldiers Of Anarchy

Unreal Tournament 2003

Unreal Tournament 2004

清除方法：

永久删除%System%\sysmsvc.exe文件

点击开始--运行，输入

regedit

按回车进入注册表编辑器

定位到如下注册表条目：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\OLE

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa

在其右侧面板删除如下键值：

"MsWindows SysDate" = "sysmsvc.exe"