BackDoor.SdBot.ank

病毒名称:

BackDoor.SdBot.ank

类别： 后门病毒

病毒资料：

破坏方法：

一个以IRC为控制平台的后门病毒.

病毒行为:

病毒运行后将自己复制到％system％目录下,文件名为syscont.exe并在注册表

HKLM\Software\Microsoft\Windows

\CurrentVersion\Run

及

HKLM\Software\Microsoft\Windows

\CurrentVersion\RunServices

中加入自己的键值,以达到随系统启动而启动的目的.

随后病毒驻留内存实现以下任务。

1.局域网传播

病毒将对局域网系统进行ipc$联接,并尝试使用体内带的字典对其管理员账号进行试探.

病毒体内的密码字典:

chemistry

chemistr

charles

celtics

cayuga

catherine

cardinal

brutefor

brenda

boner

blonde

bigfoot

bicameral

bible

berliner

beethoven

beethove

bassoon

baseball

barber

banana

backdoor

bacchus

anthropogenic

andromache

ama

alpha

alice

Alexander

albatross

alaska

Administrator

ADMINISTRATOR

administrator

Administrateur

Administrador

admin123

accounting

Access

54321

123467890

123456789

...

当病毒成功的建立联接后,将自己复制到以下路径以达到传播的目的.

％目标ip地址％\IPC$\syscont.exe

％目标ip地址％\D$\syscont.exe

％目标ip地址％\print$\syscont.exe

％目标ip地址％\c$\syscont.exe

％目标ip地址％\Admin$\syscont.exe

％目标ip地址％\c$\windows\system32\syscont.exe

％目标ip地址％\c$\winnt\system32\syscont.exe

％目标ip地址％\Admin$\system32\syscont.exe

2.IRC后门

病毒以特定的昵称登录到特定的IRC频道,以便病毒作者对其进行控制.

控制者可以对被控系统进行,文件上传下载,系统信息获取.游戏cdkey查询.

被控系统也将变成一个攻击平台,供操控者对其附近系统进行攻击...

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2005-1-17