词条 | Win32.Hack.SdBot.cz |
释义 | 概述病毒别名: 处理时间:2005-07-20 威胁级别:★★★ 中文名称:Bot幽灵 病毒类型:黑客程序 影响系统: 病毒行为这是一种集IRC后门、蠕虫功能于一体的,通过网络共享和操作系统漏洞(MS03-026、MS02-061、MS03-007、MS04-011等)进行传播的病毒。病毒会尝试通过弱密码登陆目标系统。病毒还会在感染的电脑上打开后门接收攻击者发出的指令,然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码,占用大量网络带宽资源,容易造成局域网阻塞。它通过IRC服务器接受攻击者发出的指令,例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的帐号、对指定的IP进行DoS(拒绝服务)攻击等。这次的变种还会释放并安装一个驱动模块rdriv.sys(Troj.Rootkit.l),该模块用于隐藏445端口,使得病毒主程序在访问端口时不会被网络防火墙发现。同时病毒还会隐藏自身进程,使其从任务管理器中消失。由于病毒使用了高度隐藏技术,因此用户中招后很难察觉,最终沦为网络僵尸,被黑客完全操纵。 1、将自身复制到以下目录 %SystemRoot%\\extel.exe 2、释放以下驱动文件 rdriv.sys(用于隐藏自身进程,及445端口) 3、添加以下服务: Externtelecom 用于每次开机时,启动自身 4、通过IRC登录服务器,接受黑客控制,控制命令如下: all login l threads t sub kill k logout lo who remove bye testdlls cel uptime up installed it version v status s secure sec unsecure unsec process ps list kill del hide create nickupdate nu randnick rand exploitftpd eftpd socks4 s4 redirect rd speedtest speed netstatp nsp sniffer sniff iestart ies encrypt enc join j part p raw r prefix pr resolve dns currentip cip stats st banner ban advscan asc scanall sa lsascan lsa ntscan nts wksescan wkse wksoscan wkso flusharp farp flushdns fdns pstore pst sysinfo si netinfo ni driveinfo di total t mb gb mirccmd mirc system sys file f type cat exists ex del rm rmdir move mv copy cp attrib at open op down wget update upd if i else e nick n host h id uptime up recordup rup private p status 5、使用密码表进行猜解管理员帐号: admin root 0 1 111 12 123 1234 12345 123456 654321 !@#$ !@#$% !@#$%^ !@#$%^& asdf asdfgh server |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。