我國發現“斯伯特”（Backdoor_SDBOT）病毒變種

國家計算機病毒應急處理中心于2004年4月5日接到用戶報告，該部門遭受病毒感染，造成局域網癱瘓，并發送大量的SYN包。經證實是感染了“斯伯特”（Backdoor_SDBOT）病毒的最新變種。
　　
　　病毒運行后在系統文件夾下生成病毒文件，修改注冊表。病毒還通過網絡共享進行傳播，并允許遠程用戶的訪問。另外，病毒還進行SYN洪水攻擊。被感染的用戶也都使用了弱口令，給病毒可乘之機。
　　
　　國家計算機病毒應急處理中心在這里提醒廣大用戶，立即升級殺毒軟件和個人防火墻，并啟動“實時監控”功能，同時將口令設置的較為復雜，做好病毒的防范工作。

有關該病毒分析報告如下：

病毒名稱：“斯伯特”（Backdoor_SDBOT）
病毒類型：后門程序
病毒長度：107,740字節
影響系統：Win 95/98/NT/2000/Me/XP

病毒特征：

1、生成病毒文件
病毒運行后會在系統中生成如下文件:
%System%\WIMMTRE.EXE
（其中，%System%在Windows 95/98/Me 下為C:\Windows\System，在Windows NT/2000下為C:\Winnt\System32，在Windows XP下為 C:\Windows\System32）

2、修改注冊表
病毒添加注冊表項，使得自身能夠在系統啟動時自動運行，在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run中添加
Module WinMeter = "wimmtre.exe"

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run中添加
Module WinMeter = "wimmtre.exe"

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices 中添加
Module WinMeter = "wimmtre.exe"

3、刪除共享
病毒試圖刪除以下共享
C$
D$
IPC$
ADMIN$

4、通過網絡共享傳播
　　病毒可以通過網絡共享進行傳播，它會在下列路徑生成病毒文件：
\IPC$\wimmtre.exe
\D$\wimmtre.exe
\print$\wimmtre.exe
\c$\wimmtre.exe
\Admin$\wimmtre.exe
\c$\windows\system32\wimmtre.exe
\c$\winnt\system32\wimmtre.exe
\Admin$\system32\wimmtre.exe

5、后門功能
　　病毒允許遠程用戶訪問被感染機器的文件和其它系統資源，同時還可以進行弱口令攻擊，是系統安全受到威脅。另外，病毒還進行SYN洪水攻擊。

清除該病毒的一些建議：

1、終止病毒進程
　　在Windows 9x/ME系統，同時按下CTRL+ALT+DELETE，在Windows NT/2000/XP系統中，同時按下CTRL+SHIFT+ESC，選擇“任務管理器——〉進程”，選中正在運行的病毒進程，并終止其運行。

2、注冊表的恢復
　　點擊“開始——〉運行”，輸入regedit,運行注冊表編輯器，依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices
并刪除面板右側的Module WinMeter = "wimmtre.exe"

3、刪除病毒釋放的文件
　　點擊“開始——〉查找——〉文件和文件夾”，查找文件“wimmtre.exe”，并將找到的文件刪除。

4、運行殺毒軟件，對系統進行全面的病毒查殺

5、修改弱口令，請用戶將口令設置的較為復雜，減少被攻破的可能性
,

原文轉自：http://www.kjueaiud.com