Backdoor/SdBot.mq

病毒长度：变长

病毒类型：后门

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

Backdoor/SdBot.mq通过KaZaA文件共享和mIRC进行传播，还传播给已经感染后门木马病毒的系统，利用IRC服务器指定的频道监听黑客指令。

传播过程及特征:

1.复制自身到Windows的系统文件夹下。

2.通过修改注册表在文件共享软件KaZaA下创建一个共享文件夹：

在HKEY_CURRENT_USER\\SOFTWARE\\KaZaA\\LocalContent下添加"dir0"="012345:<文件夹路径>"键值

3.将自身复制到共享文件夹中，诱骗其它用户下载并执行黑客程序。

4.它可以进行DoS攻击，并尝试结束一些安全软件的进程。

5.连接一个特定的IRC服务器并加入一个频道接收黑客发出的命令，接收的指令中有一个是复制自身到系统的启动文件夹，并且在此文件夹下可能生成零字节文件，并使用TFTP***文件名(注：*为任意数字)。

6.在注册表启动项：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

下添加指向病毒的键值以随系统启动而运行。

7.记录键盘操作，在系统文件夹下生成记录文件。

8.发送私人信息到指定的IRC服务器，如：操作系统、IP地址、用户名等。

9.打开一个后门端口。