Backdoor.Sdbot.amx

病毒名称:

Backdoor.Sdbot.amx

类别： 后门病毒

病毒资料：

破坏方法：

IRC后门程序

病毒采用VC编写，"EXE Stealth v2.72"压缩。

病毒运行后有以下行为：

一、将自己复制到％SYSDIR％目录下，文件名为"tvreggfffgxwin.exe"。

二、修改注册表以下键值，以达到其自启动的目的：

1.

HKEY_LOCAL_MACHINE\Software\Microsoft

\Windows\Currentversion\Run

增加数据项："REMOVE ME"

数据值为："TVREGGFFFGXWIN.EXE"

2.

HKEY_CURRENT_USER\Software\Microsoft

\Windows\Currentversion\Run

增加数据项："REMOVE ME"

数据值为："TVREGGFFFGXWIN.EXE"

3.

HKEY_LOCAL_MACHINE\Software\Microsoft

\Windows\Currentversion\RunServices

增加数据项："REMOVE ME"

数据值为："TVREGGFFFGXWIN.EXE"

4.

HKEY_LOCAL_MACHINE\Software\Microsoft

\Windows\Currentversion\RunOnce

增加数据项："REMOVE ME"

数据值为："TVREGGFFFGXWIN.EXE"

5.

HKEY_CURRENT_USER\Software\Microsoft

\Windows\Currentversion\RunOnce

增加数据项："REMOVE ME"

数据值为："TVREGGFFFGXWIN.EXE"

三、试图通过猜测IPC密码远程登录网络中的其他计算机，病毒所使用的密码有以下几个：

""(空密码)、

"passWord"、

"staff"、

"oeminstall"

四、随机的选择病毒体中自带的IRC用户昵称，所使用的昵称有以下可能：

"#PHP"

"#la"

"#Eloquence"

"#influx.module"

"#devotion"

"#adr"

"#.exe"

"#9dsmb"

"#2b27"

"#avtrade"

"#PrnCeSs-"

"#Sadness_Regns"

"#l.o.v.e.r"

"#cgs"

"#lycos"

"#castlegreen"

"#countmoney"

"#tears.in.heaven"

"#sgforums"

"#cservice"

"#globalhub"

……

使用所选定的昵称登录指定的IRC频道，并其控制端提供以下远程控制服务：

1.获取系统信息；

2.获取指定游戏的CD-KEY；

3.对指定IP的主机进行洪水攻击；

4.下载指定文件；

5.删除本地计算机文件。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2005-1-6