技術 > 災飛
  win32.hack.sdbot.cz
  病毒名: 處理時間:2005-07-20 威脅級:★★★
  中文名稱:bot幽靈 病毒類型:黑客程序 影響統:
  病毒行為:
  這是一種集irc門、蠕功能於一的,通過網絡共享和操作統漏洞(ms03-026、ms02-061、ms03-007、ms04-011等)進行傳播的病毒。病毒會嘗試通過弱密碼登陸目標統。病毒還會在感染的電腦上打開門接收攻擊者出的指令,然連接特定的irc服務器通知攻擊者病毒的存在。病毒會掃描網段內的機器猜測共享密碼,占用大量網絡帶寬資源,容易造成局域網阻塞。它通過irc服務器接受攻擊者出的指令,例如安裝/卸載門、下載運行文件、結束進程、運行代理服務器、盜取流行遊戲的帳號、對指定的ip進行dos(拒絶服務)攻擊等。這次的變還會釋放安裝一個驅動模塊rdriv.sys(troj.rootkit.l),該模塊用於隱藏445端口,使得病毒主程序在訪問端口時不會被網絡防火墻現。同時病毒還會隱藏自身進程,使其從任務管理器中消失。由於病毒使用高度隱藏技術,因此用戶中招很難察覺,最終淪為網絡僵屍,被黑客完全操縱。
  1、將自身節制制度到以下目錄
  %systemroot%extel.exe
  2、釋放以下驅動文件
  rdriv.sys(用於隱藏自身進程,及445端口)
  3、添加以下服務:
  externtelecom
  用於每次開機時,啓動自身
  4、通過irc登錄服務器,接受黑客控,控命令如下:
  all
  login
  l
  threads
  t
  sub
  kill
  k
  logout
  lo
  who
  remove
  bye
  testdlls
  cel
  uptime
  up
  installed
  it
  version
  v
  status
  s
  secure
  sec
  unsecure
  unsec
  process
  ps
  list
  kill
  del
  hide
  create
  nickupdate
  nu
  randnick
  rand
  exploitftpd
  eftpd
  socks4
  s4
  redirect
  rd
  speedtest
  speed
  netstatp
  nsp
  sniffer
  sniff
  iestart
  ies
  encrypt
  enc
  join
  j
  part
  p
  raw
  r
  prefix
  pr
  resolve
  dns
  currentip
  cip
  stats
  st
  banner
  ban
  advscan
  asc
  scanall
  sa
  lsascan
  lsa
  ntscan
  nts
  wksescan
  wkse
  wksoscan
  wkso
  flusharp
  farp
  flushdns
  fdns
  pstore
  pst
  sysinfo
  si
  netinfo
  ni
  driveinfo
  di
  total
  t
  mb
  gb
  mirccmd
  mirc
  system
  sys
  file
  f
  type
  cat
  exists
  ex
  del
  rm
  rmdir
  move
  mv
  copy
  cp
  attrib
  at
  open
  op
  down
  wget
  update
  upd
  if
  i
  else
  e
  nick
  n
  host
  h
  id
  uptime
  up
  recordup
  rup
  private
  p
  status
  5、使用密碼進行猜解管理員帳號:
  admin
  root
  0
  1
  111
  12
  123
  1234
  12345
  123456
  654321
  !@#$
  !@#$%
  !@#$%^
  !@#$%^&
  asdf
  asdfgh
  server
  專殺 http://tool.duba.net/zhuansha/154.shtml
  更多專殺http://tool.duba.net/zhuansha/