运行机理

传播过程及特征

Backdoor/SdBot.ce

别 名：W32.HLLW.Moega,W32/Sluter.worm.gen,Backdoor.Sdbot.gen, W32/Sdbot.worm.gen

病毒长度：变长

病毒类型：后门

危害等级：★

影响平台：Win9X/2000/XP/NT/Me

运行机理

Backdoor/SdBot.ce通过局域网传播，尝试打开139和445端口盗取系统信息。该病毒及其变种一般经过UPX或PeCompact压缩，它执行时从图标上看很像是Windows XP系统的更新文件。

传播过程及特征

1.在系统目录下复制自身，可能是下列文件名：

%System%\\Wupdated.exe

%System%\\Mplupdate.exe

%System%\\winhop32.exe

%System%\\Svchost45.exe

2.修改注册表，添加下列键值：

"Configuration Loaded" = "wupdated.exe"

"Windows Update" = "mplupdate.exe"

"WINHOP32" = "winhop32.exe"

"Generic Host Process" = "svchost45.exe"到启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

3.获取被感染机器的IP地址，然后尝试对局域网同一网段内的所有计算机进行感染。

4.试图用下列用户名和口令登录局域网里的其它计算机：

用户名：wwwadmin 、user 、system 、sqlagent 、sql 、root 、owner 、guest 、database 、administrator 、admin。

口令：654321 、123456 、1234 、123 、111 、1 、wwwadmin 、user 、system 、sqlagent 、sql 、server 、secret 、root 、password 、password123 、pass 、pass123 、owner 、hidden 、guest 、database 、asdfgh 、asdf 、administrator 、admin。

一旦登录成功，它会将自身复制到其它计算机系统。

5.开放139和445端口，并盗取一些流行游戏的CD key、Red Alert 2、IGI 2、Command & Conquer Generals、FIFA 2003、Need For Speed Hot Pursuit 2、The Gladiators、Soldier of Fortune II、Rainbow Six III RavenShield、Battlefield 1942 Road To Rome、Battlefield 1942、Counter-Strike、Unreal、Tournament 2003、Half-Life。

6.获取计算机的一些信息，比如：操作系统，系统内存的大小，硬件的配置类型等。

7.连接一个IRC服务器并下载黑客指定的一些文件，还可以对黑客指定的某些站点进行DoS（拒绝服务）攻击。