当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
MSN传播病毒Backdoor.Win32.IRCBot.acd解决方法 | |||
2007-7-3 9:01:36 文/westbeck 出处:一切从无毒开始 | |||
前言:在C.I.R.S.T的BLOG上看到:警惕myalbum2007.zip,在某论坛下载了病毒样本。仿照C.I.S.R.T之前写变种的形式,自己写了一篇,向MSN联系人发送的信息内容是参考C.I.S.R.T的。 病毒名称:Backdoor.Win32.IRCBot.acd(Kaspersky) 病毒描述: 病毒通过MSN传播,和之前的变种一样伪装成照片压缩包发送给MSN上的联系人,诱使联系人接收打开病毒。病毒通过ShellServiceObjectDelayLoad加载的启动方式也和之前变种相同。这次新的变种对被感染系统的语言版本进行判断,默认的语言是英语。 技术分析: 病毒运行后在系统目录生成包含有自身副本的ZIP压缩文件: 释放一个dll文件注入进程: 在注册表创建ShellServiceObjectDelayLoad启动方式: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] 注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:{28F56F18-24D1-42F3-94CE-A220BDD27D94} 向MSN联系人发送信息:
Here are my very secret pictures for you.
hey regarde les tof de notre bande de fous. :p
hey kijk eens naar mijn nieuwe foto album
meine hei en Fotos ! :p
le mie foto calde :p mis fotos calientes
病毒还会尝试连接远程IRC
1. 删除病毒的启动方式(进入注册表依次删除下面的选项,详细步骤:开始菜单-运行-输入“regedit”):
以及对应的: [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] 2. 重新启动计算机 3. 删除病毒文件(如遇提示无法删除文件,到down.45its.com下载费尔木马强制删除器工具进行强制删除): |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |