基本信息

行为分析

传播过程

基本信息

病毒别名：Backdoor.Spyboter.gen 【AVP】 Backdoor.Spyboter.dc 【KV】

威胁级别：★

中文名称：间谍波特变种

病毒类型：木马

影响系统：Win9X/ME/2000/XP/NT/2003

行为分析

A、将复制自己为%System%(9X的%SystemRoot%system 或 NT/2K的%SystemRoot%system32)如下文件并立即执行:

%System%

undll.exe

B、在注册表主键：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

添加一下键值：

"Windows32 Config"="rundll.exe"

可能在注册表主键：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

添加一下键值：

"Windows32 Config"="rundll.exe"

传播过程

A、在113端口开放TCP后门,连接到某些网址的6667端口，10448端口等高端端口。

B、病毒以特定的昵称登录到Mirc服务器的特定频道（amsterdam.nl.eu.undernet.org，eu.undernet.org，us.undernet.org）。以方便作者对其进行控制控制者可以查询当前系统的硬件信息和系统信息：如：操作系统版本、CPU频率，内存信息，系统运行时间，当前日期，当前登陆用户，IP地址、计算机名，Windows安装目录，系统目录等。

C、病毒驻留内存并启动一个监视线程，遍历系统进程例表。杀死和病毒体内的黑名单中相符的进程。

D、它可以进行DoS攻击。

E、记录键盘操作，在系统文件夹下生成记录文件。

F、局域网传播：

病毒尝试进行简单的ipc密码猜测。一当成功。病毒将自己复制到以下路径中。

WINDOWSAll UsersStart MenuProgramsStartUp

WINNTProfilesAll UsersStart MenuProgramsStartup

WINDOWSStart MenuProgramsStartup

Documenti e ImpostazioniAll UsersStart MenuProgramsStartup

Dokumente und EinstellungenAll UsersStart MenuProgramsStartup

Documents and SettingsAll UsersStart MenuProgramsStartup

病毒体内的密码例表：

guessme,youwontguessme,uwontguessme,mirc,kiddie,scriptkiddie,script,hax0r,hacker,l337,l33t,

leet,killer,0wn3d,w00t,heaven,spaceman,satanic,satanik,satan,gobo,Matthew,Matt,Mat,

pw,mypass123,mypass,pw123,admin123,mypc123,mypc,love,pwd,Login,login,owner,home,

zxcv,yxcv,qwer,secret,asdf,pc,win,test123,abc,aaa,foobar,god,sex,administrator,pat,

patrick,alpha,007,test,temp,temp123,changeme,123abc,1234qwer,123123,121212,111111,

110,2600,2003,2002,xp,enable,godblessyou,ihavenopass,123asd,super,Internet,computer,

server,123qwe,sybase,oracle,abc123,abcd,database,passwd,pass,88888888,11111111,

111,54321,654321,123456789,12345678,1234567,123456,12345,1234,123,12,crash,fucked,

netfuck,irule,Password,password,Admin,admin,own,owned,0wned,root等等

G、盗取某些游戏的CD-KEY，如Half-Life,CounterStrike。