MSN性感相册病毒又出变种了,按下面方法可以解决之:
档案编号:CISRT2007079
病毒名称:Backdoor.Win32.IRCBot.acd(Kaspersky)
病毒别名:Backdoor.Win32.IRCbot.w(瑞星)
Win32.Hack.MSNBot.ac.52736(毒霸)
病毒大小:52,736 字节
加壳方式:
样本MD5:ee3ed79ffb63344b6e50458b68a7814a
样本SHA1:15b1e629ef96ff8cba3fee127b8abc8a88b3f9df
发现时间:2007.7.2
更新时间:2007.7.2
关联病毒:
传播方式:通过MSN传播
技术分析
==========
病毒通过MSN传播,向MSN上的联系人发送虚假消息,同时将自身压缩包伪装成照片发送过去(如图),如果对方接受并打开压缩包中的病毒文件,那么系统将被感染。和之前变种一样,新变种仍然通过ShellServiceObjectDelayLoad加载。
病毒运行后在系统目录生成包含自身副本的ZIP压缩文件:
%Windows%\myalbum2007.zip
其中包含的文件名是photo album-2007.scr,释放出来后可见图标如图:
释放一个dll文件注入进程:
%System%\sysprinters.dll
在注册表ShellServiceObjectDelayLoad处创建启动方式:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"system32"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="sysprinters.dll"
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:{72E56A20-CFEE-4DD8-A10D-F1A43CBE46A2}
向MSN上的联系人发送信息:
Here are my very secret pictures for you.
Here are my pictures from my vacation
hmm is this you on the photo ?
Check out my pics from my workplace.
Nice new photos of me and my friends and stuff...
ahh look this is my greatest picture made on vacation 2007, take a look
Check out my nice photo album. :D
hey regarde les tof de notre bande de fous. :p
hey c'est toi dans ces tof!!???
hey regarde les tof, c'est moi et mes copains entrain de.... :D
j'ai fais pour toi cet album de photos tu dois le voire :p
stp regarde cet album de photos je lai fais specialement pour toi et mes amis...
mes photos chaudes :D
t'as pas encore vu ces tof???
hey kijk eens naar mijn nieuwe foto album
hey bekijk eens mijn nieuwe foto album
hmm ben jij dit op de foto ?
hey kijk ! dit is een lijst van mijn nieuwste fotos !!
ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens :p
kijk dit zijn fotos van mij werkplek! :)
hmm ben jij dit op de foto ?
meine hei遝n Fotos ! :p
le mie foto calde :p
mis fotos calientes mi fotograf韆s :p
Mi amigo tom?las fotos agradables de m?:p
mis fotos calientes
el lol mi hermana quisiera que le enviara este 醠bum de foto
同时将%Windows%\myalbum2007.zip发送给联系人。
病毒还会尝试连接远程IRC:www.free4people.net
清除步骤
==========
1. 删除病毒的启动方式:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"system32"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
以及对应的:
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="sysprinters.dll"
2. 重新启动计算机
3. 删除文件:
%Windows%\myalbum2007.zip
%System%\sysprinters.dll
%userprofile%\new.txt
原文出处: http://www.cisrt.org/bbs/viewthread.php?tid=1421
京ICP备05002321号