SdBot病毒变种。
运行后将自己拷贝到System目录,文件名为Spoolv.exe 。修改注册表
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Spooler SubSystem App : Spoolv.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Spooler SubSystem App : Spoolv.exe
这样每次开机病毒都能启动。
病毒带有黑客色彩,有多种传播途径。能自动扫描机器漏洞然后传播自己。能通过猜测弱口令传播自身,内部附带了庞大的密码字典,覆盖了很多常用的密码和几乎所有常见英文单词,总共有7389个,容易在局域网内传播。能著名聊天工具通过IRC传播。还能进行DDos攻击。
查找注册表,获得多种著名游戏的序列号,可通过邮件发送出去。
查找并结束多种进程。其中包括防火墙和杀毒进程,如:_AVP32.EXE,_AVPM.EXE,ANTI-TROJAN.EXE,
APVXDWIN.EXE,AVNT.EXE,CFINET.EXE,CLAW95CF.EXE,ESPWATCH.EXE,F-PROT95.EXE,NAVWNT.EXE,
RAV7.EXE,VET95.EXE,NAVW32.EXE,NAVAPSVC.EXE.....几乎包括了所有知名杀毒软件。
还会结束一些著名的病毒进程,如:MSBLAST.EXE,KPF4SS.EXE,KPF4GUI.EXE,EXPLORER32.EXE,
WINSOCK2.2.EXE,WINEXEC.EXE,WINDRIVER.EXE,SYSCFG32.EXE,SYSOTRAY32.EXE,RUNDDL31.EXE...
其中MSBLAST.exe是冲击波病毒。
病毒入侵机器后通过修改注册表提高机器的安全级别,并删除所有共享文件夹,使得及其难以被其他病毒和黑客入侵。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-8-5
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
