当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
||||
通过MSN传播的IRCBot intlprinters.exe libcintles3.dll 解决方案 | ||||
2007-8-1 9:29:09 文/海色の月 出处:C.I.S.R.T | ||||
病毒别名: 病毒大小:116,224 字节 加壳方式:PE_Patch NTKrnl 样本MD5:6a642e1da4faee6dff6dc4a253481cc3 样本SHA1:9469829af3851f2748c6a72863f1a8a4684d4b6d 发现时间:2007.7 更新时间:2007.7 关联病毒: 传播方式:通过MSN传播 技术分析 ========== 变种: MSN传播病毒Backdoor.Win32.IRCBot.acd解决方法 通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案 MSN传播病毒Backdoor.Win32.IRCBot.acd解决方法 MSN病毒firewallav.dll printers.exe 解决方案 MSN病毒images.zip winlog32.exe 解决方案 通过MSN传播的IRCBot msn.exe libcintles3.dll 解决方案 通过MSN传播的IRCBot intlprinters.exe libcintles3.dll 解决方案 病毒向MSN联系人发送消息和伪装成照片的带毒压缩包,对方联系人接收并打开压缩包中的病毒文件时系统被感染。 病毒发送给MSN联系人的病毒压缩包文件名不固定,发送的消息里有汉语拼音。 病毒被运行后在系统目录%Windows%生成包含自身副本的ZIP压缩文件,文件名不固定,由以下字符加随机数字组成: images photos2007_ album photo photo_album image0 例如: photos2007_79.zip (photos2007_79.scr) photo12.zip (photo12.scr) 创建病毒副本: %System%\intlprinters.exe 释放dll注入进程: %System%\libcintles3.dll 创建ShellServiceObjectDelayLoad启动方式: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "printers"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] @="libcintles3.dll" 注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:{E8CFA6CA-1C3E-4E79-83C8-D675267D2CA8} 病毒根据染毒系统的语言给MSN联系人发送相应的文字消息,同时发送带毒ZIP压缩包:
尝试连接远程IRC:john.free4people.net 清除步骤 ========== 1. 删除病毒的启动方式(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "printers"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" 以及对应的: [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] @="libcintles3.dll" 2. 重新启动计算机 3. 删除文件(如遇提示无法删除文件,到down.45its.com下载费尔木马强制删除器工具进行强制删除): %System%\intlprinters.exe %System%\libcintles3.dll %userprofile%\new.txt 以及%Windows%目录下文件名由以下字符和随机数字组成,文件大小约114KB的病毒压缩包文件:
例如: photos2007_79.zip (photos2007_79.scr) photo12.zip (photo12.scr) |
||||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |