“Hack.SDBot”一种集IRC后门、蠕虫功能于一体的，通过网络共享和操作系统漏洞（MS03-026、MS02-061、MS03-007、MS04-011等）进行传播的病毒。病毒会尝试通过弱密码登陆目标系统。病毒还会在感染的电脑上打开后门接收攻击者发出的指令，然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码，占用大量网络带宽资源，容易造成局域网阻塞。它通过IRC服务器接受攻击者发出的指令，例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的帐号、对指定的IP进行DoS（拒绝服务）攻击等。这次的变种还会释放并安装一个驱动模块rdriv.sys(Troj.Rootkit.l)，该模块用于隐藏445端口，使得病毒主程序在访问端口时不会被网络防火墙发现。同时病毒还会隐藏自身进程，使其从任务管理器中消失。由于病毒使用了高度隐藏技术，因此用户中招后很难察觉，最终沦为网络僵尸，被黑客完全操纵。
 
***************************************************

瑞星“(Backdoor.Win32.Sdbot)”病毒专杀工具
 
工具名称：RavSdbot.exe
版 本 号：1.7
软件大小：188 KB
 
应用平台：Windows平台
发布时间：2005-08-09
发布公司：北京瑞星科技股份有限公司

  
软件说明
 
  　我们提供的专杀工具是专门处理Backdoor.win32.SDBot病毒的。该工具必须在安全模式下运行，否则无法彻底清除病毒。

病毒介绍
 
　　该病毒能够释放出Trojan.RootKit.k，然后利用Trojan.RootKit.k隐藏自身的进程。造成用户从系统中无法找到到Backdoor.win32.SDBot病毒进程。Backdoor.win32.SDBot病毒会通过网络共享和系统漏洞进行传播，可以自动猜测系统的密码，并可以利用冲击波和震荡波漏洞进入网络中其他的计算机。大量占用网络资源，使网络的传输速度变慢。

　　Trojan.RootKit.k会通过拦截系统的进程和网络端口映射，来隐藏进程。但是由于Trojan.RootKit.k自身的Bug，当系统调用被Trojan.RootKit.k拦截的API的时候，会出现系统蓝屏死机的现象。例如:在运行“netstat -ano”的时候，肯定会出现蓝屏死机的问题。

附件：金山IRCbot.worm专杀工具.rar (136 K)