Backdoor.Sdbot.T là loại Trojan cổng sau, cho phép kẻ tấn công có thể điều khiển máy tính lây nhiễm thông qua các kênh IRC.
Tên virus: Backdoor.Sdbot.T
Loại: Trojan/ Ngày xuất hiện 18/4/2004
Mô tả
Khi Backdoor.Sdbot.T được kích hoạt, nó sẽ thực hiện các tác vụ sau:
- Tự nhân bản với cái tên %System%kgzgjkpcw.exe và %System%zonealarm.exe vào thư mục hệ thống, theo mặc định sẽ là C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), hoặc C:WindowsSystem32 (Windows XP).
- Chấm dứt các process sau:
* Netstat.exe
* Msconfig.exe
* Regedit.exe
- Bổ sung giá trị "Winsock2 driver"="kgzgjkpcw.exe" vào các khóa registry:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindows
CurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
- Bổ sung giá trị "Winsock2 driver"="ZONEALARM.EXE" vào khóa registry:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindows
CurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
- Sử dụng IRC client riêng để kết nối tới một kênh IRC đặc biệt và đợi lắng nghe lệnh sau:
* Quản lý backdoor
* Điều khiển IRC client trong máy tính lây nhiễm
* Chuyển thông tin về mạng và hệ thống tới tác giả của Trojan
* Tải và thực thi file
* Ghi keystrokes
* Chạy máy chủ HTTP
* Quản lý các process
* Khởi phát các cuộc tấn công từ chối dịch vụ (DoS)
