·该病毒可以通过IRC(Internet Relay Chat)频道被远程控制
　　·包含分布式拒绝服务攻击(DDoS)以及后门功能
　　·尝试从受感染计算机盗取机密信息
　　·尝试使用多个漏洞进行散布

　　其他命名：W32.Spybot.Worm, W32/Sdbot.worm.gen.j [McAfee], Backdoor.Win32.Rbot.gen [Kaspersky]
　　病毒长度：124,928字节
　　受影响系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
　　风险指数：低
　　破坏能力：中
　　感染能力：中

　　该病毒执行时：

　　1，将自身拷贝为：%System%\sysmsvc.exe

　　注意：%Windir%文件夹：Windows 95/98/Me系统中默认为：C:\Windows，Windows NT/2000系统中默认为：C:\Winnt，Windows XP系统中为：C:\Windows

　　2，在如下注册表项：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　　HKEY_CURRENT_USER\Software\Microsoft\OLE
　　HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
　
　　添加如下键值：

　　"MsWindows SysDate" = "sysmsvc.exe"
　　以便Windows启动时自动运行该病毒

　　3，尝试打开后门，连接到一个IRC频道服务器：fear.godofthe.net的TCP 8080端口

　　4，接听攻击者发出的命令执行如下动作：

　　·下载并执行文件
　　·列出、停止以及启动进程
　　·发起拒绝服务(Denial of Service,DoS)攻击
　　·盗取系统信息以及密码并发送给攻击者
　　·重定向端口
　　·通过IRC发送文件
　　·使用自身的SMTP引擎发送email
　　·启动本地Web,FTP或其他有安全隐患的服务器
　　·将键盘按键记录为一个文件
　　·尝试侵入网络共享并拷贝自身
　　·扫描网络中易受攻击的主机

　　5，扫描计算机并尝试使用如下之一的易受攻击的主机：

　　·使用TCP端口135的Microsoft Windows DCOM RPC接口缓存溢出漏洞(Microsoft Security Bulletin MS03-026)
　　·Microsoft Windows本地安全验证服务远程缓存溢出漏洞(Microsoft Security Bulletin MS04-011)
　　·使用TCP端口445的Microsoft Windows Workstation Service Remote缓存溢出漏洞(Microsoft Security Bulletin MS03-049)
　　·Microsoft Windows SSL库拒绝服务漏洞。(Microsoft Security Bulletin MS04-011)

　　6，盗取如下游戏的CD-KEY：

Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Chrome
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
FIFA 2002
FIFA 2003
Hidden & Dangerous 2
IGI 2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Microsoft Windows Product ID
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Neverwinter Nights (Shadows of Undrentide)
NHL 2002
NHL 2003
NOX
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Soldier of Fortune II - Double Helix
Soldiers Of Anarchy
Unreal Tournament 2003
Unreal Tournament 2004

　　清除方法：

　　永久删除%System%\sysmsvc.exe文件

　　点击开始-->运行，输入

　　regedit

　　按回车进入注册表编辑器

　　定位到如下注册表条目：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　　HKEY_CURRENT_USER\Software\Microsoft\OLE
　　HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa

　　在其右侧面板删除如下键值：

　　"MsWindows SysDate" = "sysmsvc.exe"

发给好友

我要报错

投稿给我们

加入收藏

返回顶部