当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
||||
通过MSN传播的IRCBot msnfix.exe libweb.dll 解决方案 | ||||
2007-8-17 9:08:31 文/海色の月 出处:C.I.S.R.T. | ||||
病毒别名:Win32.Hack.IRCBot.360448 [exe](毒霸) 病毒大小:115,712 字节 加壳方式:PE_Patch NTKrnl 样本MD5:0b5f8795412ba235a68d0d7aa8f17407 样本SHA1:976116afcf27514afbb9e022639ff8fa0717c8e3 传播方式:通过MSN传播 技术分析 ========== 变种: 变种太多,请到电脑软硬件应用网首页搜索框搜索:MSN传播即可。 MSN蠕虫变种,病毒发作时向MSN联系人发送欺骗文字消息和带毒压缩包,对方联系人接受并打开带毒压缩包中的病毒文件时系统将受到感染。 病毒运行后复制自身到系统目录: %System%\msnfix.exe 释放dll注入进程: %System%\libweb.dll 创建ShellServiceObjectDelayLoad启动方式: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "Version1"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] @="libweb.dll" 注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串{CLSID},病毒产生的{CLSID}不固定,如:{731A026D-383E-4C8C-A51F-367F830BB820}。 在%Windows%目录下生成包含自身副本的ZIP压缩包,文件名不固定,由以下字符和随机数字组合而成:
根据染毒系统语言,病毒向MSN联系人发送以下文字和上述病毒压缩包:
尝试连接远程IRC:www.onlinesciencexxx.com 清除步骤 ========== 到down.45its.com下载IceSword120_cn.zip(以下简称冰刃) 1. 删除病毒创建的ShellServiceObjectDelayLoad启动方式(打开冰刃-注册表-依次找到病毒注册表选项删除即可): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "Version1"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] @="libweb.dll" 2. 重新启动计算机 3. 删除病毒文件(打开冰刃-文件-依次找到病毒文件删除即可): %System%\msnfix.exe %System%\libweb.dll 4. 删除%Windows%目录下病毒ZIP压缩包,如: love3.zip (包含love3.scr) Photo91.zip (包含Photo91.scr) beachpicture54.zip (包含beachpicture54.scr) secretimages23.zip (包含secretimages23.scr) DSC0343555.zip (包含DSC0343555.scr) IMG8438789.zip (包含IMG8438789.scr) 5. 删除可能存在的文件: %userprofile%\auto.txt |
||||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |