DOS.Hack.SdBot,即山德機器,計算機病毒名,屬於黑客程式。
基本介紹
- 中文名:山德機器
- 外文名:DOS.Hack.SdBot
- 病毒類型:黑客程式
- 病毒別名:Backdoor.SdBot.gen[AVP]
- 威脅級別:★★
處理時間:
病毒行為:
編寫工具:
vc編寫,upx壓縮
傳染條件:
通過irc和KaZaA已分享資料夾進行傳播,誘使用戶下載並誤運行
發作條件:
利用了下列漏洞:DCOM RPC: TCP 連線埠 135
Windows Local Security Authority Service 緩衝區溢出漏洞
系統修改:
1,拷貝自身到:%System%檔案名稱隨機
2,向註冊表添加:
HKEY_CURRENT_USERSOFTWAREKAZAALocalContent
"dir0"="012345:<設定的已分享資料夾>"
來設定KaZaA的共享路徑
3,拷貝自身到設定好的已分享資料夾來誘使別的用戶下載
4,可對預定設計的地址進行dos攻擊
5,結束預先設定的進程,如常見反病毒軟體進程
6,連結到預定的irc頻道並接受遠程命令
7,向註冊表添加:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
鍵值如(兩項名字都有變動):
"Microsoft Update" = "wuamgrd.exe"
8,記錄用戶的擊鍵記錄並收集本機的一些常見信息,通過irc傳送到預先指定的頻道.
9,在隨機連線埠開設後門
10,通過rpc和lass溢出漏洞進行遠程傳播.
發作現象:
病毒防火牆和網路防火牆會悄悄退出或變灰
特別說明:
利用了兩個漏洞,建議用戶打上常見漏洞的補丁或定時更新windows
