|
最近发现电脑门诊里很多人反映MSN不断转发文字:Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol... 然后转发附件photo album.zip
站长在 C.I.S.R.T发现了它的临时解决方案 特转发过来
通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案
病毒名称:Backdoor.Win32.IRCBot.aaq(Kaspersky)
病毒别名:
病毒大小:18,944 字节
加壳方式:UPX
样本MD5:383fa8f31bc56113dbb9f5b7527a6d0d
样本SHA1:f325df3287eb51c69bd783590c168609bebefd1a
发现时间:2007.3
更新时间:2007.3
关联病毒:
传播方式:通过MSN传播
技术分析
==========
病毒通过MSN传播,文件名photo album.zip,包含病毒文件photo album2007.pif,病毒被运行后,复制自身到系统目录:
%Windows%\photo album.zip
另外释放一个dll文件注入Explorer.exe进程:
%System%\rdshost.dll
在注册表中创建ShellServiceObjectDelayLoad启动方式:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="rdshost.dll"
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:{3CBAEB1E-422A-495D-A45F-5D9E10AACD4B}
向MSN好友发送信息:
QUOTE:
HEY lol i've done a new photo album !:) Second ill find file and send you it.
Hey wanna see my new photo album?
Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...
Hey just finished new photo album! :) might be a few nudes ;) lol...
hey you got a photo album? anyways heres my new photo album :) accept k?
hey man accept my new photo album.. :( made it for yah, been doing picture story of my life lol..
同时将%Windows%\photo album.zip发送过去。
连接的IRC:darkjester.xplosionirc.net
清除步骤
==========
1. 删除病毒的启动项:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="rdshost.dll"
2. 重新启动计算机
3. 删除病毒文件:
%Windows%\photo album.zip
%System%\rdshost.dll
另外通过sreng操作步骤如下
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad下面的
<rdshost><rdshost.dll> []
键值
删除C:\WINDOWS\system32\rdshost.dll文件
和
C:\WINDOWS\photo album.zip
电脑软硬件应用网站长的建议:如果以上步骤无法为你解决问题请在正常模式用HijackThis扫描一份日志到我的邮箱我给你处理。邮件地址:jinjunhe@21cn.com,主题千万注明电脑门诊多少号读者。不然可能会当垃圾邮件拒收!提示:以上提到的软件到down.45its.com找到并下载!
|
