Win32.Troj.Spyboter

A、將複製自己為%System%(9X的%SystemRoot%system 或 NT/2K的%SystemRoot%system32)如下檔案並立即執行:

%System%

undll.exe

B、在註冊表主鍵：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

添加一下鍵值：

"Windows32 Config"="rundll.exe"

可能在註冊表主鍵：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

添加一下鍵值：

"Windows32 Config"="rundll.exe"

A、在113連線埠開放TCP後門,連線到某些網址的6667連線埠，10448連線埠等高端連線埠。

B、病毒以特定的暱稱登錄到Mirc伺服器的特定頻道（amsterdam.nl.eu.undernet.org，eu.undernet.org，us.undernet.org）。以方便作者對其進行控制控制者可以查詢當前系統的硬體信息和系統信息：如：作業系統版本、CPU頻率，記憶體信息，系統運行時間，當前日期，當前登入用戶，IP位址、計算機名，Windows安裝目錄，系統目錄等。

C、病毒駐留記憶體並啟動一個監視執行緒，遍歷系統進程例表。殺死和病毒體內的黑名單中相符的進程。

D、它可以進行DoS攻擊。

E、記錄鍵盤操作，在系統資料夾下生成記錄檔案。

F、區域網路傳播：

病毒嘗試進行簡單的ipc密碼猜測。一當成功。病毒將自己複製到以下路徑中。

WINDOWSAll UsersStart MenuProgramsStartUp

WINNTProfilesAll UsersStart MenuProgramsStartup

WINDOWSStart MenuProgramsStartup

Documenti e ImpostazioniAll UsersStart MenuProgramsStartup

Dokumente und EinstellungenAll UsersStart MenuProgramsStartup

Documents and SettingsAll UsersStart MenuProgramsStartup

病毒體內的密碼例表：

guessme,youwontguessme,uwontguessme,mirc,kiddie,scriptkiddie,script,hax0r,hacker,l337,l33t,

leet,killer,0wn3d,w00t,heaven,spaceman,satanic,satanik,satan,gobo,Matthew,Matt,Mat,

pw,mypass123,mypass,pw123,admin123,mypc123,mypc,love,pwd,Login,login,owner,home,

zxcv,yxcv,qwer,secret,asdf,pc,win,test123,abc,aaa,foobar,god,sex,administrator,pat,

patrick,alpha,007,test,temp,temp123,changeme,123abc,1234qwer,123123,121212,111111,

110,2600,2003,2002,xp,enable,godblessyou,ihavenopass,123asd,super,Internet,computer,

server,123qwe,sybase,oracle,abc123,abcd,database,passwd,pass,88888888,11111111,

111,54321,654321,123456789,12345678,1234567,123456,12345,1234,123,12,crash,fucked,

netfuck,irule,Password,password,Admin,admin,own,owned,0wned,root等等

G、盜取某些遊戲的CD-KEY，如Half-Life,CounterStrike。