win32.hack.sdbot.cz
病毒名: 處理時間:2005-07-20 威脅級:★★★
中文名稱:bot幽靈 病毒類型:黑客程序 影響統:
病毒行為:
這是一種集irc門、蠕功能於一的,通過網絡共享和操作統漏洞(ms03-026、ms02-061、ms03-007、ms04-011等)進行傳播的病毒。病毒會嘗試通過弱密碼登陸目標統。病毒還會在感染的電腦上打開門接收攻擊者出的指令,然連接特定的irc服務器通知攻擊者病毒的存在。病毒會掃描網段內的機器猜測共享密碼,占用大量網絡帶寬資源,容易造成局域網阻塞。它通過irc服務器接受攻擊者出的指令,例如安裝/卸載門、下載運行文件、結束進程、運行代理服務器、盜取流行遊戲的帳號、對指定的ip進行dos(拒絶服務)攻擊等。這次的變還會釋放安裝一個驅動模塊rdriv.sys(troj.rootkit.l),該模塊用於隱藏445端口,使得病毒主程序在訪問端口時不會被網絡防火墻現。同時病毒還會隱藏自身進程,使其從任務管理器中消失。由於病毒使用高度隱藏技術,因此用戶中招很難察覺,最終淪為網絡僵屍,被黑客完全操縱。
1、將自身節制制度到以下目錄
%systemroot%extel.exe
2、釋放以下驅動文件
rdriv.sys(用於隱藏自身進程,及445端口)
3、添加以下服務:
externtelecom
用於每次開機時,啓動自身
4、通過irc登錄服務器,接受黑客控,控命令如下:
all
login
l
threads
t
sub
kill
k
logout
lo
who
remove
bye
testdlls
cel
uptime
up
installed
it
version
v
status
s
secure
sec
unsecure
unsec
process
ps
list
kill
del
hide
create
nickupdate
nu
randnick
rand
exploitftpd
eftpd
socks4
s4
redirect
rd
speedtest
speed
netstatp
nsp
sniffer
sniff
iestart
ies
encrypt
enc
join
j
part
p
raw
r
prefix
pr
resolve
dns
currentip
cip
stats
st
banner
ban
advscan
asc
scanall
sa
lsascan
lsa
ntscan
nts
wksescan
wkse
wksoscan
wkso
flusharp
farp
flushdns
fdns
pstore
pst
sysinfo
si
netinfo
ni
driveinfo
di
total
t
mb
gb
mirccmd
mirc
system
sys
file
f
type
cat
exists
ex
del
rm
rmdir
move
mv
copy
cp
attrib
at
open
op
down
wget
update
upd
if
i
else
e
nick
n
host
h
id
uptime
up
recordup
rup
private
p
status
5、使用密碼進行猜解管理員帳號:
admin
root
0
1
111
12
123
1234
12345
123456
654321
!@#$
!@#$%
!@#$%^
!@#$%^&
asdf
asdfgh
server
專殺 http://tool.duba.net/zhuansha/154.shtml
更多專殺http://tool.duba.net/zhuansha/ |
|
|