WEB开发网
开发学院网络安全病毒数据库 Win32.Hack.sdbot 阅读

Win32.Hack.sdbot

 2008-08-11 20:24:49 来源:WEB开发网   
核心提示:病毒名称(中文):远程控制下载器367616病毒别名:威胁级别:★★☆☆☆病毒类型:木马程序病毒长度:367616影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是一个多功能的远程木马,它会非法获取操作权限,Win32.Hack.sdbot,帮助黑客监视和控制用户系统,并下载其
病毒名称(中文): 远程控制下载器367616
病毒别名:
威胁级别: ★★☆☆☆
病毒类型: 木马程序
病毒长度: 367616
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是一个多功能的远程木马。它会非法获取操作权限,帮助黑客监视和控制用户系统,并下载其它木马到用户电脑中运行。

一、 将自身复制到c:\WINDOWS\systom\schrars.exe
二、 在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto添加记录,以服务的方式自启动自身,服务名为RasAuto
三、 创建脚本自删除
@echooff
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aQQ
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@del3596799a1543bc9f.aqq
@del"c:\DOCUME~1\admin\MYDOCU~1\D33D05~1.V"
@delafc9fe2f418b00a0.bat
@exit

四、 以下是远程控制模块的内容:
解密字符串guo****14.3**2.org:8003;
1. 得到控制端对应的ip地址,与其建立连接
2. 得到本地计算机的系统版本、计算机名、内存大小、病毒自身的版本,加密后发送过去
3. 接收控制端过来的消息,通过控制端的消息作出相应的操作:
a. 接收消息失败,关闭连接,等待10秒钟跳转到循环开始处
b. 接收消息字节长度小于104h时,重新接收消息
c. 消息首4字节为-14时,关闭连接,将自身移动到%system%\systom32\schrars.exe
d. 消息首4字节为-11、-12、-13时,提升自身的权限为SeShutdownPRivilege
e. 消息首4字节为0x21000000时,创建线程做以下操作:得到硬盘信息以及目录下的所有文件信息,以对文件进行打开、删除、复制、移动、创建等操作
f. 消息首4字节为0x22000001时,创建线程远程监控桌面
g. 消息首4字节为0x23000000时,创建匿名管道,读取系统目录下指定文件的内容
h. 消息首4字节为0x25000000时,得到进程信息,提权并关闭指定的进程
i. 消息首4字节为0x30000000时,根据其参数有不同的操作:
1). 给指定的IP发送40字节的消息,UDP方式,将消息的Unicode转换成ascii
2). 将GET^%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htm等类似的字符串发送到指定的IP地址,UDP方式
3). 给指定的IP发送消息,每隔0.4秒发送一次,UDP方式
4). 给指定的IP发送ssssssssssssssssssssssssssssssssssssssssssssss字符串
5). 给指定的IP发送消息,每隔0.4秒发送一次,TCP方式
6). 与指定的IP建立连接,每隔1秒检查一次标识,若接收到结束标识就断开连接
7). 与指定的IP不停的建立连接,每隔0.04秒连接一次
8). 连接指定的网页,发送GET/*(&*^TGH*JIHG^&*(&^%*(*)OK)(*&^%$EDRGF%&^.html请求
9). 连接指定的网页,发送GET^*%%RFTGYHJIRTG*(&^%DFG.asp请求
10). 连接指定的网页,发送GET...请求
11). 给指定的IP发送乱码通信
99). 设置结束标识
100).从指定的网址下载文件到c:\pagefile.pif并执行
101).运行指定的文件







Tags:Win Hack sdbot

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接