病毒名称:Backdoor.Win32.IRCBot.acd(Kaspersky) 病毒大小:120,832 字节 加壳方式:PE_Patch NTKrnl 样本MD5:e1d1e9e2b1882f2c99c6a131341dea21 样本SHA1:b5ba7987c7d5e15ff26be5436e674b3fac066ca8 发现时间:2007.7.23 更新时间:2007.7 传播方式:通过MSN传播
技术分析 ==========
其它已知变种以及其解决方法: MSN传播病毒Backdoor.Win32.IRCBot.acd解决方法 通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案 MSN传播病毒Backdoor.Win32.IRCBot.acd解决方法
又是一个新变种,向MSN联系人发送诱惑文字消息和伪装成照片的带有病毒自身的压缩包(如图),如果对方联系人接受并打开压缩包中的病毒文件,则系统被感染。
和以往变种不同的是,这次的新变种发送给MSN联系人的病毒压缩包文件名不固定,而且发送的消息里针对大陆用户新加入了汉语拼音。
病毒被运行后在系统目录%Windows%生成包含自身副本的ZIP压缩文件,文件名不固定,由以下字符加随机数字组成:
images0 photos0 album photo pictures0 picture | 例如:
images047.zip (images047.scr) photo92.zip (photo92.scr) | 创建一个病毒副本: %System%\printers.exe
释放一个dll文件注入进程: %System%\notiffy.dll
创建ShellServiceObjectDelayLoad启动方式:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "printers"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] @="notiffy.dll" 注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:{2BD8B5A4-3417-4CA8-A8F8-8EBA8144454A} |
病毒给MSN联系人发送病毒压缩包的同时根据系统语言发送不同的文字消息:
Look how wasted Paris Hilton is, after she got jailed :( You and Me !!! .... look :p Look at my photos hihi :p Hey please accept my photos :o !! A photo with me and my best friend :$ !! This is me totaly naked :o please dont send to anyone else Look what i found on the NET :o Jessica Alba NUDE !!
bak sana Paris Hilton ne hale gelmis hapiste :( Sen ve Ben !!! .... BAK :p Baksana benim fotograflara hihi :p Hey benim fotolarimi kabul et :o !! Iyi arkadasimla fotorafdayim :$ !! benim bu ciplak fotoda :o ama baskasina yollama bak ne buldum :o Jessica alba ciplak !!
Regarde comment Paris Hilton parait efondr?apr鑣 qu'elle ai 閠?jeter en prison :( Toi et moi !!! .... regarde :p Regarde mes photos :p Hey s'il te plait accepte mes photos :o !! Une photo de moi et mon meilleur ami :$ !! C'est moi totalement nu :o s'il te plait ne l'envoie a personne d'autre Regarde ce que j'ai trouv?sur le net :o Jessica Alba NU !!
Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :( Jij en Ik !!!! .... kijk :p Kijk eens naar mijn fotos hihi :p HEY !! accepteer mn fotos dan ! met mijn beste vriend op de foto !! :$ Dit ben ik naakt op de foto, stuur alsjeblieft niet door. Kijk wat ik gevonden heb :o Jessica Alba naakt !!
guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist :( du und ich !!! ....guck :p siehe meine fotos hihi :p hey bitte nimm meine fotos an :o !! ein foto mit meinem besten freund und mir :$ !! das bin ich total nackt :o bitte sende es niemand anderem guck was ich im internet gefunden habe :o jessica Alba NACKT !!
Guarda come Paris Hilton sprecato ? dopo che era imprijonata :( Tu ed io !!! .... guarda :p Guardi le mie foto hihi :p Mairee photos accept karo :o !! Una foto con me ed il mio amico migliore :$ !! Questa e me totaly nudo :o prego non trasmette a chiunque Osservi che cosa ho trovato sul internet :o Jessica alba NUDA !!
Veja como Paris Hilton est?acabada depois de ter sido presa :( Voc?e eu !!!! .... Veja :p Veja as minhas fotos hehehe :p Por favor aceite as minhas fotos :o !! Uma foto com o meu melhor amigo e eu :$ !! Esta sou eu totalmente nua :o por favor n鉶 mande isso pra ningu閙 Olha o que eu achei na NET :o Jessica Alba NUA !!
kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :( NI HE WO !!! .... QING KAN :p KAN WO DE ZHAOPIAN :p JIESHOU WO DE ZHAO PIAN :o !! YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !! ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
Kolla hur f鰎st鰎d Paris Hilton 鋜, efter att hon f鋘gslades :( Du och jag !! .... Kolla ;) Kolla p?min bilder, hihi :p Hey, acceptera mina bilder, sn鋖la :o En bild p?mig och min b鋝ta v鋘 :$ !!! Detta 鋜 jag HELT naken.. :o Skicka inte till n錱on annan, sn鋖la... Kolla vad jag hittade p?n鋞et :o Jessica Alba NAKEN !!
Mira c髆o Paris Hilton es perdida despu閟 de ser encarcelada :( Usted e yo !!! .... Mira :p Mira mis fotos jejeje :p Ha aceptado mis fotos por favor :o !! Una foto con mi mejor amigo e yo :$ !! Esta soy yo totalmente desnuda :o por favor no env韆 para nadie Mira lo que encontr?en la WEB :o Jessica Alba DESNUDA !!
Lede hvor spild Paris Hilton er efter hun fik f鎛gsel :( Jer og Mig !!! ... se :p Se p?min fotos :p Hej behage optage min foto :o !! EN foto hos mig og min bedst ven :$ !! denne er mig hele bar behage vage vendlig og sende den ikk til nogle :o Lede hvad jeg fandt oven p?den net :o Jessica Alba bar !! | 尝试连接远程IRC:john.free4people.net
病毒在注册表中还创建有以下信息:
[HKEY_CURRENT_USER\Software\Microsoft\kfKJnDMR] "gPYbYwsI" 清除步骤/方法 ==========
1. 删除病毒的启动方式:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "printers"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" 以及对应的:
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] @="notiffy.dll" 2. 重新启动计算机
3. 删除文件(如遇提示无法删除文件,到down.45its.com下载费尔木马强制删除器工具进行强制删除): %System%\notiffy.dll %System%\printers.exe %userprofile%\new.txt 以及%Windows%目录下文件名由以下字符和随机数字组成,文件大小约119KB的病毒ZIP压缩包文件:
images0 photos0 album photo pictures0 picture 例如:
images047.zip (images047.scr) photo92.zip (photo92.scr) 4. 删除注册表信息:
[HKEY_CURRENT_USER\Software\Microsoft\kfKJnDMR]
PS:注册表进入方式:开始菜单-运行-输入“regedit”
|