Win32.Hack.SdBot.cz

影響系統：

病毒會嘗試通過弱密碼登入目標系統。病毒還會在感染的電腦上打開後門接收攻擊者發出的指令，然後連線特定的IRC伺服器通知攻擊者病毒的存在。病毒會掃描網段內的機器並猜測共享密碼，占用大量網路頻寬資源，容易造成區域網路阻塞。它通過IRC伺服器接受攻擊者發出的指令，例如安裝/卸載後門、下載並運行檔案、結束進程、運行代理伺服器、盜取流行遊戲的帳號、對指定的IP進行DoS（拒絕服務）攻擊等。這次的變種還會釋放並安裝一個驅動模組rdriv.sys(Troj.Rootkit.l)，該模組用於隱藏445連線埠，使得病毒主程式在訪問連線埠時不會被網路防火牆發現。同時病毒還會隱藏自身進程，使其從任務管理器中消失。由於病毒使用了高度隱藏技術，因此用戶中招後很難察覺，最終淪為網路殭屍，被黑客完全操縱。

1、將自身複製到以下目錄

%SystemRoot%\extel.exe

2、釋放以下驅動檔案

rdriv.sys(用於隱藏自身進程，及445連線埠)

3、添加以下服務：

Externtelecom

用於每次開機時，啟動自身

4、通過IRC登錄伺服器，接受黑客控制，控制命令如下：

all

login

l

threads

t

sub

kill

k

logout

lo

who

remove

bye

testdlls

cel

uptime

up

installed

it

version

v

status

s

secure

sec

unsecure

unsec

process

ps

list

kill

del

hide

create

nickupdate

nu

randnick

rand

exploitftpd

eftpd

socks4

s4

redirect

rd

speedtest

speed

netstatp

nsp

sniffer

sniff

iestart

ies

encrypt

enc

join

j

part

p

raw

r

prefix

pr

resolve

dns

currentip

cip

stats

st

banner

ban

advscan

asc

scanall

sa

lsascan

lsa

ntscan

nts

wksescan

wkse

wksoscan

wkso

flusharp

farp

flushdns

fdns

pstore

pst

sysinfo

si

netinfo

ni

driveinfo

di

total

t

mb

gb

mirccmd

mirc

system

sys

file

f

type

cat

exists

ex

del

rm

rmdir

move

mv

copy

cp

attrib

at

open

op

down

wget

update

upd

if

i

else

e

nick

n

host

h

id

uptime

up

recordup

rup

private

p

status

5、使用密碼錶進行猜解管理員帳號：

admin

root

0

1

111

12

123

1234

12345

123456

654321

!@#$

!@#$%

!@#$%^

!@#$%^&

asdf

asdfgh

server