技术 > 灾飞
  win32.hack.sdbot.cz
  病毒别名: 处理时间:2005-07-20 威胁级别:★★★
  中文名称:bot幽灵 病毒类型:黑客程序 影响系统:
  病毒行为:
  这是一种集irc后门、蠕虫功能于一体的,通过网络共享和操作系统漏洞(ms03-026、ms02-061、ms03-007、ms04-011等)进行传播的病毒。病毒会尝试通过弱密码登陆目标系统。病毒还会在感染的电脑上打开后门接收攻击者发出的指令,然后连接特定的irc服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码,占用大量网络带宽资源,容易造成局域网阻塞。它通过irc服务器接受攻击者发出的指令,例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的帐号、对指定的ip进行dos(拒绝服务)攻击等。这次的变种还会释放并安装一个驱动模块rdriv.sys(troj.rootkit.l),该模块用于隐藏445端口,使得病毒主程序在访问端口时不会被网络防火墙发现。同时病毒还会隐藏自身进程,使其从任务管理器中消失。由于病毒使用了高度隐藏技术,因此用户中招后很难察觉,最终沦为网络僵尸,被黑客完全操纵。
  1、将自身复制到以下目录
  %systemroot%extel.exe
  2、释放以下驱动文件
  rdriv.sys(用于隐藏自身进程,及445端口)
  3、添加以下服务:
  externtelecom
  用于每次开机时,启动自身
  4、通过irc登录服务器,接受黑客控制,控制命令如下:
  all
  login
  l
  threads
  t
  sub
  kill
  k
  logout
  lo
  who
  remove
  bye
  testdlls
  cel
  uptime
  up
  installed
  it
  version
  v
  status
  s
  secure
  sec
  unsecure
  unsec
  process
  ps
  list
  kill
  del
  hide
  create
  nickupdate
  nu
  randnick
  rand
  exploitftpd
  eftpd
  socks4
  s4
  redirect
  rd
  speedtest
  speed
  netstatp
  nsp
  sniffer
  sniff
  iestart
  ies
  encrypt
  enc
  join
  j
  part
  p
  raw
  r
  prefix
  pr
  resolve
  dns
  currentip
  cip
  stats
  st
  banner
  ban
  advscan
  asc
  scanall
  sa
  lsascan
  lsa
  ntscan
  nts
  wksescan
  wkse
  wksoscan
  wkso
  flusharp
  farp
  flushdns
  fdns
  pstore
  pst
  sysinfo
  si
  netinfo
  ni
  driveinfo
  di
  total
  t
  mb
  gb
  mirccmd
  mirc
  system
  sys
  file
  f
  type
  cat
  exists
  ex
  del
  rm
  rmdir
  move
  mv
  copy
  cp
  attrib
  at
  open
  op
  down
  wget
  update
  upd
  if
  i
  else
  e
  nick
  n
  host
  h
  id
  uptime
  up
  recordup
  rup
  private
  p
  status
  5、使用密码表进行猜解管理员帐号:
  admin
  root
  0
  1
  111
  12
  123
  1234
  12345
  123456
  654321
  !@#$
  !@#$%
  !@#$%^
  !@#$%^&
  asdf
  asdfgh
  server
  专杀 http://tool.duba.net/zhuansha/154.shtml
  更多专杀http://tool.duba.net/zhuansha/