Worm.RPC.Sdbot.dll

王朝other·作者佚名 2008-05-31

宽屏版字体: 小|中|大|超大

病毒名称:

Worm.RPC.Sdbot.dll

类别：蠕虫病毒

病毒资料：

破坏方法：

使用RPC漏洞传播的蠕虫病毒一旦执行，将释放以下两个文件到系统目录：

winlogin.exe

yuetyutr.dll

WINLOGIN.EXE ：就是蠕虫“Worm.RPC.Sdbot”，它将YUEYUTR.DLL注入到资源管理器的进程内存中YUEYUTR.DLL ：是此病毒用来传播的组件，它运行后将探测网络上存在RPC DCOM漏洞的机器，如果存在病毒则在此机器上打开4444端口，运行一个远程shell，随后创建一个线程来模拟一个TFTP服务器，病毒随后命令中毒机器从本机TFTP服务器下载winlogin.exe并执行，进行下一次传播流程。

其它信息：

病毒使用的是SDBOT的变种，一种IRC病毒，此种SDBOT是一种后门病毒，它可以连接到指定的IRC服务器上并使用随机的昵称加入到指定的channel中。

病毒通过Microsoft windows的RPC漏洞进行传播RPC漏洞详情请访问微软网站：

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.ASP

HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\Runonce

winlogon = "winlogin.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\Run

NdplDeamon = "winlogin.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\Run

winlogon = "winlogin.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT

\CurrentVersion\Winlogon

Shell = "eXPlorer.exe winlogin.exe"

在Windows 95, 98, and ME系统上，病毒修改文件：SYSTEM.INI

[boot]

shell = explorer.exe winlogin.exe

4444.691.在win2k下有可能导致资源管理启动异常

2.病毒进行RPC DCOM漏洞探测时可能导致系统重启

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2003-8-14