扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
病毒名称:Backdoor.Win32.SdBot.bzf(Kaspersky)
病毒别名:Backdoor.Win32.SdBot.orv(瑞星)
Win32.Hack.SdBot.388096(毒霸)
病毒大小:388,096 字节
加壳方式:
样本MD5:283ae3d75b6fa817652f6e58d2ee9d84
样本SHA1:de770698c8ce7160f1373185cdbb0ace9675d0b2
发现时间:2007.9
更新时间:2007.9
关联病毒:
传播方式:通过MSN传播
技术分析:
MSN蠕虫变种,根据系统语言向MSN联系人发送诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。
病毒运行后在系统目录生成包含自身的带毒ZIP压缩包:
%Windows%\X_0005_jpg.zip
其中包含病毒文件名为:www.X_0005_jpg-msn.com
创建副本:
%Windows%\mono.exe
创建启动项:
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mono.exe"="%Windows%\mono.exe"
修改注册表关闭系统文件保护:
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:ffffff9d
"SFCScan"=dword:00000000
更改自动关闭进程等待时间:
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="7000"
破坏FTP程序文件:
%System%\tftp.exe
%System%\dllcache\tftp.exe
%System%\ftp.exe
%System%\dllcache\ftp.exe
原正常程序复制到:
%System%\microsoft\backup.tftp
%System%\microsoft\backup.ftp
根据染毒系统语言向MSN联系人发送相应诱惑文字消息,同时发送带毒压缩包X_0005_jpg.zip诱使联系人接收打开:
QUOTE:
dessa 鋜 egentligen trevliga: P
gyckel m錽te se dig detta fotografera
du fick se detta dess galet :p
estes s鉶 realmente agrad醰eis :P
wow voc?viu este?
como voc?gosta de me nesta foto
voc?come鏾u ver este seu assim engra鏰do
Bu resimler nasil sence bir bakarmisin :)
su komik resimlerime baksana :D
bak :P
Kiz kardesim bunlari sana yollamami s鰕ledi ;)
bu resimler space i鏸n nasil
Space ime bun resimleri eklesem sence nasil olur
avete ottenuto vedere questo relativo cos?divertente
come lo pensate osservi qui sguardo di
lol a questo controllo di distorsione di
velocit?questo fuori
el lol mi hermana quisiera que le enviara este 醠bum de foto
vengo de fi este foto 醠bum
ey i que hace el 醠bum de foto!
Si vea el loL del em
l tipo, me acepta por favor su solamente 醠bum de foto: (!
lol meine Schwester w黱scht mich Ihnen dieses Fotoalbum schicken
Geck, nehmen bitte sein nur mich Fotoalbum an: (!
he m鯿hten mein neues Fotoalbum sehen?
hoe vind je dit er uit zien ?
hoe vind je dit ?
echt erg kijk dan
zo hee moet je dit zien echt niet normaal
zo moet je me hier op zien lol
lol he hoe vind je me hier op
eeeh c mes tof :p
c seulement mes tof de derniers vacances
tu dois voire les tof de notre bande
comment est-ce que je regarde sur cette photo ? le lol ceci est dr鬺e
ma soeur a voulu que tu regarde ca
d閒aut de la reproduction sonore avez-vous vu ceci ?
looooook :p
loooooooooooool :D
lol he looks weird on this photo
omg check this out man this is funny
lol you got to see this :P
尝试连接远程IRC:fu.9689635.com
清除步骤
==========
1. 删除病毒创建的启动项:
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mono.exe"="%Windows%\mono.exe"
2. 重新启动计算机
3. 删除病毒文件:
%Windows%\X_0005_jpg.zip
%Windows%\mono.exe
4. 恢复被破坏的FTP程序文件,删除:
%System%\tftp.exe
%System%\dllcache\tftp.exe
%System%\ftp.exe
%System%\dllcache\ftp.exe
然后将%System%\microsoft\backup.tftp复制到:
%System%\tftp.exe
%System%\dllcache\tftp.exe
将%System%\microsoft\backup.ftp复制到:
%System%\ftp.exe
%System%\dllcache\ftp.exe
5. 修改注册表恢复系统文件保护:
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:00000000
"SFCScan"键值可以删除。
6. 恢复系统自动关闭进程等待时间:
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="20000"
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。