Backdoor.Spyboter.cy

王朝other·作者佚名 2008-05-31

病毒名称:

类别：后门病毒

病毒资料：

破坏方法：

spyboter病毒变种。是一种IRC后门，UPX压缩。集黑客，蠕虫，后门功能于一体。

该病毒与今年较为流行的bot病毒相近，但内部复杂度不高，应该是bot病毒的前期版本。

病毒运行后将自己拷贝到系统目录下，文件名为winsvc.exe。

该病毒没有写注册表启动项，所以，病毒进程退出后不会再启动。

创建名称为"x333x700"的互斥体，保证同一时刻只有一个病毒实例在运行。

病毒监听本地113号TCP端口等待远程连接。黑客连接上来以后病毒发送IRC聊天室地址信息给黑客，黑客根据这个地址登陆到IRC服务器特定频道，开始与病毒进行会话。

每隔5秒钟尝试登陆特定IRC服务器的特定频道，准备接受黑客控制。与黑客在聊天室进行交互，看起来病毒就像一个聊天机器人。黑客发出指令，病毒接收后在本地做相应执行，然后将执行结果发会给黑客。

黑客可发指令让病毒销毁自己，病毒生成脚本文件

@echo off

:start

if not exist ""％1"" goto done

del /F ""％1""

del ""％1""

goto start

:done

del /F ％temp％ s.bat

del ％temp％ .bat

退出进程执行脚本后病毒被删除。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2005-1-17