该病毒可以通过IRC(Internet Relay Chat)频道被远程控制
包含分布式拒绝服务攻击(DDoS)以及后门功能
尝试从受感染计算机盗取机密信息
尝试使用多个漏洞进行散布
其他命名:W32.Spybot.Worm, W32/Sdbot.worm.gen.j [McAfee], Backdoor.Win32.Rbot.gen [Kaspersky]
病毒长度:124,928字节
受影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
风险指数:低
破坏能力:中
感染能力:中
该病毒执行时:
1,将自身拷贝为:%System%\sysmsvc.exe
注意:%Windir%文件夹:Windows 95/98/Me系统中默认为:C:\Windows,Windows NT/2000系统中默认为:C:\Winnt,Windows XP系统中为:C:\Windows
2,在如下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
添加如下键值:
"MsWindows SysDate" = "sysmsvc.exe"
以便Windows启动时自动运行该病毒
3,尝试打开后门,连接到一个IRC频道服务器:fear.godofthe.net的TCP 8080端口
4,接听攻击者发出的命令执行如下动作:
下载并执行文件
列出、停止以及启动进程
发起拒绝服务(Denial of Service,DoS)攻击
盗取系统信息以及密码并发送给攻击者
重定向端口
通过IRC发送文件
使用自身的SMTP引擎发送email
启动本地Web,FTP或其他有安全隐患的服务器
将键盘按键记录为一个文件
尝试侵入网络共享并拷贝自身
扫描网络中易受攻击的主机
5,扫描计算机并尝试使用如下之一的易受攻击的主机:
使用TCP端口135的Microsoft Windows DCOM RPC接口缓存溢出漏洞(Microsoft Security Bulletin MS03-026)
Microsoft Windows本地安全验证服务远程缓存溢出漏洞(Microsoft Security Bulletin MS04-011)
使用TCP端口445的Microsoft Windows Workstation Service Remote缓存溢出漏洞(Microsoft Security Bulletin MS03-049)
Microsoft Windows SSL库拒绝服务漏洞。(Microsoft Security Bulletin MS04-011)
6,盗取如下游戏的CD-KEY:
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Chrome
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
FIFA 2002
FIFA 2003
Hidden & Dangerous 2
IGI 2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Microsoft Windows Product ID
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Neverwinter Nights (Shadows of Undrentide)
NHL 2002
NHL 2003
NOX
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Soldier of Fortune II - Double Helix
Soldiers Of Anarchy
Unreal Tournament 2003
Unreal Tournament 2004
清除方法:
永久删除%System%\sysmsvc.exe文件
点击开始-->运行,输入
regedit
按回车进入注册表编辑器
定位到如下注册表条目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
在其右侧面板删除如下键值:
"MsWindows SysDate" = "sysmsvc.exe"
一文秒懂 | 什么是云MSP?
