§ 概述

病毒别名：Backdoor.SdBot.gen【AVP】

处理时间：

威胁级别：★★

中文名称：山德机器

病毒类型：黑客程序

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

编写工具:

vc编写,upx压缩

传染条件:

通过irc和KaZaA共享目录进行传播,诱使用户下载并误运行

发作条件:

利用了下列漏洞:DCOM RPC: TCP 端口 135

Windows Local Security Authority Service 缓冲区溢出漏洞

§ 系统修改:

1,拷贝自身到:%System%文件名随机

2,向注册表添加:

HKEY_CURRENT_USERSOFTWAREKAZAALocalContent

"dir0"="012345:<设定的共享目录>"

来设定KaZaA的共享路径

3,拷贝自身到设定好的共享目录来诱使别的用户下载

4,可对预定设计的地址进行dos攻击

5,结束预先设定的进程,如常见反病毒软件进程

6,链接到预定的irc频道并接受远程命令

7,向注册表添加:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

RunOnce

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

RunServices

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

键值如(两项名字都有变动):

"Microsoft Update" = "wuamgrd.exe"

8,记录用户的击键记录并收集本机的一些常见信息,通过irc发送到预先指定的频道.

9,在随机端口开设后门

10,通过rpc和lass溢出漏洞进行远程传播.

§ 发作现象:

病毒防火墙和网络防火墙会悄悄退出或变灰

§ 特别说明:

利用了两个漏洞,建议用户打上常见漏洞的补丁或定时更新windows

• 芳信
• 芳六重组
• 芳兰当门，不得不锄
• 芳兰轩集
• 芳冽
• 芳卿
• 芳名
• 芳声
• 芳官
• 芳岁
• 芳年
• 芳廷
• 芳心吸血鬼
• 芳心的放纵
• 芳心谋杀案
• 芳心院
• 芳春
• 芳春节
• 芳春院
• 芳札
• 芳林
• 芳林路小学
• 芳桂
• 芳沛霖
• 芳泽