前言：在C.I.R.S.T的BLOG上看到:警惕myalbum2007.zip，在某论坛下载了病毒样本。仿照C.I.S.R.T之前写变种的形式，自己写了一篇，向MSN联系人发送的信息内容是参考C.I.S.R.T的。

　　病毒名称：Backdoor.Win32.IRCBot.acd（Kaspersky）
　　病毒大小：52736 bytes
　　加壳方式：
　　样本MD5：ee3ed79ffb63344b6e50458b68a7814a
　　样本SHA1：15b1e629ef96ff8cba3fee127b8abc8a88b3f9df
　　编写语言：Borland Delphi 6.0-7.0

　　病毒描述：

　　病毒通过MSN传播，和之前的变种一样伪装成照片压缩包发送给MSN上的联系人，诱使联系人接收打开病毒。病毒通过ShellServiceObjectDelayLoad加载的启动方式也和之前变种相同。这次新的变种对被感染系统的语言版本进行判断，默认的语言是英语。

　　技术分析：

　　病毒运行后在系统目录生成包含有自身副本的ZIP压缩文件：
　　%Windows%\myalbum2007.zip
　　其中包含的病毒副本文件名是photo album-2007.scr。

　　释放一个dll文件注入进程：
　　%System%\sysprinters.dll

　　在注册表创建ShellServiceObjectDelayLoad启动方式：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"sysprinters"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="sysprinters.dll"

　　注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID，病毒产生的这段CLSID不固定，如：{28F56F18-24D1-42F3-94CE-A220BDD27D94}

　　向MSN联系人发送信息：

　　英语版本:

Here are my very secret pictures for you.
Here are my pictures from my vacation
hmm is this you on the photo ?  
Check out my pics from my workplace.    
Nice new photos of me and my friends and stuff...   
ahh look this is my greatest picture made on vacation 2007, take a look Check out my nice photo album. :D  

　　法语版本:

hey regarde les tof de notre bande de fous. :p  
hey c'est toi dans ces tof!!???
hey regarde les tof, c'est moi et mes copains entrain de.... :D
j'ai fais pour toi cet album de photos tu dois le voire :p  
stp regarde cet album de photos je lai fais specialement pour toi et mes amis...       mes photos chaudes :D   
t'as pas encore vu ces tof???   

　　荷兰语（比利时语）版本:

hey kijk eens naar mijn nieuwe foto album   
hey bekijk eens mijn nieuwe foto album  
hmm ben jij dit op de foto ?    
hey kijk ! dit is een lijst van mijn nieuwste fotos !!  
ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens :p    
kijk dit zijn fotos van mij werkplek! :)    
hmm ben jij dit op de foto ?

　　德语版本:

meine hei en Fotos ! :p

　　意大利语版本:

le mie foto calde :p

  
　　西班牙语版本:  

mis fotos calientes
mi fotografas :p   
Mi amigo tom?las fotos agradables de m?:p
el lol mi hermana quisiera que le enviara este album de foto

　　同时将%Windows%\myalbum2007.zip发送给联系人。

　　病毒还会尝试连接远程IRC

　　清除步骤
　　==========

　　1. 删除病毒的启动方式(进入注册表依次删除下面的选项，详细步骤：开始菜单－运行－输入“regedit”)：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"sysprinters"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

　　以及对应的：

　　[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="sysprinters.dll"

　　2. 重新启动计算机

　　3. 删除病毒文件(如遇提示无法删除文件，到down.45its.com下载费尔木马强制删除器工具进行强制删除)：
　　%Windows%\myalbum2007.zip
%System%\sysprinters.dll