江民今日提醒您注意:在今天的病毒中Backdoor/SdBot.uj和Backdoor/PSW.FakeMsn.20值得关注。
Backdoor/SdBot.uj
病毒长度:45,568 字节
病毒类型:后门
危害等级:*
影响平台:Win9X/2000/XP/NT/Me/2003
Backdoor/SdBot.uj从特定IRC服务器的一个IRC频道接收指令,并复制自身到系统目录下,利用网络中的弱密码漏洞进行传播。
传播过程及特征:
1.复制自身:
%System%\Winlogonn.exe
2.利用局域网里的弱密码进行传播感染,复制自身到目的计算机,并可以远程的控制病毒程序在感染的计算机上运行的时间。
\\<目的IP>\Admin$\system32\GT.exe
\\<目的IP>\c$\winnt\system32\GT.exe
3.修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows mangement"="winlogonn.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows mangement"="winlogonn.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows mangement"="winlogonn.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows mangement"="winlogonn.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows mangement"="winlogonn.exe"
4.连接特定IRC服务器上的一个IRC频道,在此接收远程指令:
Ntscan -- 扫描有弱密码漏洞的计算机,然后复制自身。
Syn -- 用55808字节的数据发动syn flood攻击
Sysinfo -- 搜索感染计算机上的系统信息
5.盗取下列游戏的CD Key:
FIFA 2003
Need For Speed Hot Pursuit 2
Soldier of Fortune II
Rainbow Six III Ravenshield
Battlefield 1942 Road To Rome
Battlefield 1942
IGI 2
Counter-Strike
Unreal Tournament 2003
Half-Life
Backdoor/PSW.FakeMsn.20
病毒长度:变长
病毒类型:木马
危害等级:*
影响平台:Win9X/2000/XP/NT/Me/2003
Backdoor/PSW.FakeMsn.20是盗取密码的木马程序,通过IRC,对等网络,新闻组以及邮件等进行传播。
传播过程及特征:
此木马用来盗取MSN用户帐号及密码信息,感染此病毒后会出现一个欺诈性质的MSN登录对话框,诱导用户输入帐号及密码,记录下这些详细信息并进行保存,然后发送给木马作者。
注:%Windir%为变量,一般为C:\Windows 或 C:\Winnt;
%System%为变量,一般为C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
请及时升级江民杀毒软件KV2004,并开启各项监视程序,防止病毒或木马程序进入系统。江民杀毒软件KV2004可以直接在Windows系统下彻底清除以上病毒。
原来如此
