我国发现“斯伯特”(Backdoor_SDBOT)病毒变种
出处:CERT 作者:CERT 时间:2004-4-13 21:34:00
国家计算机病毒应急处理中心于2004年4月5日接到用户报告,该部门遭受病毒感染,造成局域网瘫痪,并发送大量的SYN包。经证实是感染了“斯伯特”(Backdoor_SDBOT)病毒的最新变种。
病毒运行后在系统文件夹下生成病毒文件,修改注册表。病毒还通过网络共享进行传播,并允许远程用户的访问。另外,病毒还进行SYN洪水攻击。被感染的用户也都使用了弱口令,给病毒可乘之机。
国家计算机病毒应急处理中心在这里提醒广大用户,立即升级杀毒软件和个人防火墙,并启动“实时监控”功能,同时将口令设置的较为复杂,做好病毒的防范工作。
有关该病毒分析报告如下:
病毒名称:“斯伯特”(Backdoor_SDBOT)
病毒类型:后门程序
病毒长度:107,740字节
影响系统:Win 95/98/NT/2000/Me/XP
病毒特征:
1、生成病毒文件
病毒运行后会在系统中生成如下文件:
%System%\WIMMTRE.EXE
(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
2、修改注册表
病毒添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run中添加
Module WinMeter = "wimmtre.exe"
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run中添加
Module WinMeter = "wimmtre.exe"
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices 中添加
Module WinMeter = "wimmtre.exe"
3、删除共享
病毒试图删除以下共享
C$
D$
IPC$
ADMIN$
4、通过网络共享传播
病毒可以通过网络共享进行传播,它会在下列路径生成病毒文件:
\IPC$\wimmtre.exe
\D$\wimmtre.exe
\print$\wimmtre.exe
\c$\wimmtre.exe
\Admin$\wimmtre.exe
\c$\windows\system32\wimmtre.exe
\c$\winnt\system32\wimmtre.exe
\Admin$\system32\wimmtre.exe
5、后门功能
病毒允许远程用户访问被感染机器的文件和其它系统资源,同时还可以进行弱口令攻击,是系统安全受到威胁。另外,病毒还进行SYN洪水攻击。
清除该病毒的一些建议:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器——〉进程”,选中正在运行的病毒进程,并终止其运行。
2、注册表的恢复
点击“开始——〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices
并删除面板右侧的Module WinMeter = "wimmtre.exe"
3、删除病毒释放的文件
点击“开始——〉查找——〉文件和文件夹”,查找文件“wimmtre.exe”,并将找到的文件删除。
4、运行杀毒软件,对系统进行全面的病毒查杀
5、修改弱口令,请用户将口令设置的较为复杂,减少被攻破的可能性
,