Backdoor/SdBot.gt

病毒长度：41KB

病毒类型：后门

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

Backdoor/SdBot.gt是用Visual C++编写并经UPX压缩过的后门病毒，通过容易破解密码的网络共享进行传播，并在特定的IRC服务器的一个IRC频道接收指令。达到未经授权便可以远程访问感染病毒计算机的目的。

传播过程及特征：

1.复制自身为：

%System%\\LanNSvc.exe

2.试图对计算出的任意IP地址进行感染。首先利用NetUserEnum() API函数列举出一个用户名单，然后企图用内置密码库里的密码进行登陆。蠕虫会努力尝试利用每一个用户名进行登陆直到成功，否则便锁定此帐号。一旦成功便在感染病毒的计算机上复制自身：

\\\\<目标IP>\\Admin$\\%System%\\GT.exe

\\\\<目标IP>\\c$\\%System%\\GT.exe

3.远程控制蠕虫在感染计算机上运行的时间。

4.修改注册表：

添加键值"TCP Monitoring"="LanNSvc.exe"到启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce

5.连接特定IRC服务器上的一个IRC频道，在此接受如下指令：

执行DDos(分布式拒绝服务)攻击，攻击的方式为SYN Flood、 ping Flood 或 UDP Flood

收集被感染计算机的相关信息，比如：CPU频率、内存大小等

扫描局域网内管理员口令设置较简单的计算机，并在该系统下复制自身

收集一些流行游戏的CD Key并发送它们到IRC频道

下载并运行文件

6.盗取游戏的CD Key。

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000), 或

C:\\Windows\\System32 (Windows XP)。