[转载] 警惕recsl机器人木马后门Backdoor.Win32.SdBot.awm

转帖:警惕recsl机器人木马后门Backdoor.Win32.SdBot.awm
   
    Backdoor.Win32.SdBot.awm病毒运行后，衍生病毒文件到系统程序目录下。添加注册表自动运行项与系统服务项以实现随机引导病毒体。创建大量线程用于扫描用户所在网络，若发现存在默认共享或弱口令则传播自身。此病毒为一个利用Windows平台下IRC协议的网络蠕虫，受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、FTP等行为。
清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1) 使用安天木马防线结束病毒进程：
1.exe
dl.exe
mysvcc.exe
(2) 病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sysms
Value: String: "C:\WINDOWS\System32\1.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msvccc66      Value: String: "dl.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mysvcig38      Value: String: "mysvcc.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysms       Value: String: "C:\WINDOWS\System32\1.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\msvccc66    Value: String: "dl.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\mysvcig38    Value: String: "mysvcc.exe"
(3) 恢复注册表下列键值为旧值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM
New: String: "N"
Old: String: "Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)  
(4) 删除病毒释放文件
%Temporary Internet Files%\1.exe  
%Temporary Internet Files%\d.exe
%System32%\1.exe     
%System32%\dl.exe
%System32%\helpersysem.exe  
%System32%\mysvcc.exe   
%System32%\sysem.exe
相关链接请参见：www.antiy.com/security/report/20070405.htm