Win32.Hack.sdbot

　2008-08-11 20:24:49　来源：WEB开发网　　　

核心提示：病毒名称(中文):远程控制下载器367616病毒别名:威胁级别:★★☆☆☆病毒类型:木马程序病毒长度:367616影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是一个多功能的远程木马，它会非法获取操作权限，Win32.Hack.sdbot，帮助黑客监视和控制用户系统，并下载其

病毒名称(中文): 远程控制下载器367616
病毒别名:
威胁级别: ★★☆☆☆
病毒类型: 木马程序
病毒长度: 367616
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个多功能的远程木马。它会非法获取操作权限，帮助黑客监视和控制用户系统，并下载其它木马到用户电脑中运行。

一、将自身复制到c:\WINDOWS\systom\schrars.exe
二、在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto添加记录，以服务的方式自启动自身，服务名为RasAuto
三、创建脚本自删除
@echooff
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aQQ
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@del3596799a1543bc9f.aqq
@del"c:\DOCUME~1\admin\MYDOCU~1\D33D05~1.V"
@delafc9fe2f418b00a0.bat
@exit

四、以下是远程控制模块的内容：
解密字符串guo****14.3**2.org:8003；
1. 得到控制端对应的ip地址，与其建立连接
2. 得到本地计算机的系统版本、计算机名、内存大小、病毒自身的版本，加密后发送过去
3. 接收控制端过来的消息，通过控制端的消息作出相应的操作：
a. 接收消息失败，关闭连接，等待10秒钟跳转到循环开始处
b. 接收消息字节长度小于104h时，重新接收消息
c. 消息首4字节为-14时，关闭连接，将自身移动到%system%\systom32\schrars.exe
d. 消息首4字节为-11、-12、-13时，提升自身的权限为SeShutdownPRivilege
e. 消息首4字节为0x21000000时，创建线程做以下操作：得到硬盘信息以及目录下的所有文件信息，以对文件进行打开、删除、复制、移动、创建等操作
f. 消息首4字节为0x22000001时，创建线程远程监控桌面
g. 消息首4字节为0x23000000时，创建匿名管道，读取系统目录下指定文件的内容
h. 消息首4字节为0x25000000时，得到进程信息，提权并关闭指定的进程
i. 消息首4字节为0x30000000时，根据其参数有不同的操作：
1). 给指定的IP发送40字节的消息，UDP方式，将消息的Unicode转换成ascii
2). 将GET^%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htm等类似的字符串发送到指定的IP地址，UDP方式
3). 给指定的IP发送消息，每隔0.4秒发送一次，UDP方式
4). 给指定的IP发送ssssssssssssssssssssssssssssssssssssssssssssss字符串
5). 给指定的IP发送消息，每隔0.4秒发送一次，TCP方式
6). 与指定的IP建立连接，每隔1秒检查一次标识，若接收到结束标识就断开连接
7). 与指定的IP不停的建立连接，每隔0.04秒连接一次
8). 连接指定的网页，发送GET/*(&*^TGH*JIHG^&*(&^%*(*)OK)(*&^%$EDRGF%&^.html请求
9). 连接指定的网页，发送GET^*%%RFTGYHJIRTG*(&^%DFG.asp请求
10). 连接指定的网页，发送GET...请求
11). 给指定的IP发送乱码通信
99). 设置结束标识
100).从指定的网址下载文件到c:\pagefile.pif并执行
101).运行指定的文件