Backdoor.Win32.SdBot.aad
感谢网友eagle提供的样本``
文件名称:img1756.scr
文件大小:41984 bytes
AV命名:Backdoor.Win32.SdBot.aad(卡吧斯基)
中文别名:“赛波”变种aad
加壳方式:无
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:后门
文件MD5:8F8B66E936BA101EFC6E3CB5D1DEC814
文件SHA1:846e96195e07a5ee1ab2ee6e8d000793d91fd331
传播方式:MSN、系统漏洞
行为分析:
1、释放病毒附件:
%Windir%\img1756.zip 42104 字节(文件名可能不一样,是个压缩包`)
%Windir%\svchost.exe 41984 字节(假冒系统文件,注意路径区别)
2、%Windir%\svchost.exe 修改注册表,写入Run启动项,并获得MS数字签字认证!!!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Microsoft Genuine Logon 键名。REG_SZ子键值为 "svchost.exe "
3、释放P处理a.bat,内容为:
@echo off
net stop "Security Center"
net stop winvnc4
del c:\a.bat
net stop "Security Center"
net stop winvnc4
del c:\a.bat
尝试关闭"Security Center"(安全中心)、winvnc4(远程控制)服务。
4、连接85.114.143.1**服务器(应该是德国IRC服务器),并监听1863端口(假冒MSN聊天端口)。
(整个过程中防火墙没有一点反应)
5、以无判断方式尝试启动msnmsgr.exe
路径:"C:\Program Files\MSN Messenger\msnmsgr.exe"
6、检测MSN聊天窗口,并随机出现下列对话和img1756.zip压缩包(文件名不固定):
look @ my cute new puppy :-D
(看我逗人喜爱的新小狗 :-D)
look @ this picture of me, when I was a kid
(看我小时候的照片)
I just took this picture with my webcam, like it?
(我用摄像头拍了这张照片,喜欢么?)
check it, i shaved my head
(看看它(照片),我剃了光头 )(汗``)
what the **, did you see this?
(TMD,你看到了什么?)
hey man, did you take this picture?
(伙计,你是否拍这张相片?)
利用社会工程学,诱使好友点击激活病毒。
解决方法:
先去找下MSN蠕虫专杀8``看能不能杀,省事```=。=
手工删除:
[url]http://gudugengkekao.ys168.com/[/url]下载:
冰刃.zip 2,121KB
sreng2.5.zip 780KB (备用``)
1、关闭一切能见窗口的进程,断开网络。
2、打开,冰刃,设置禁止进线程创建。
3、打开冰刃“进程”管理,有看到C:\Svchost.exe和的结束掉(注意路径!!)
4、利用冰刃“文件”功能,删除:
%Windir%\img1756.zip 42104 字节 (文件名可能不一样,是个压缩包`)
%Windir%\svchost.exe 41984 字节 (假冒系统文件,注意路径区别)
PS:%Windir%为:C:\Winnt(2000、ME系统) C:\Windows(XP、2003)
5、冰刃“注册表”功能,删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下的
Microsoft Genuine Logon 键(指向svchost.exe的)
找起来可能比较麻烦,也可以用SREng删除该项!
6、设置冰刃,重启并监视,然后升级杀软,全盘扫。
7、强烈建议打上系统所有补丁。。。对于MSN好友发来的压缩包,至少应该向对方确认。
怀疑是病毒的,欢迎发送压缩包至
加密virus
不懂加密的Q526170722
(一天12小时隐身, 远程杀毒的就别加了```)
