病毒名称:Backdoor.Win32.IRCBot.acd(Kaspersky)
病毒大小:120,832 字节
加壳方式:PE_Patch NTKrnl
样本MD5:e1d1e9e2b1882f2c99c6a131341dea21
样本SHA1:b5ba7987c7d5e15ff26be5436e674b3fac066ca8
发现时间:2007.7.23
更新时间:2007.7
传播方式:通过MSN传播
技术分析
==========
其它已知变种以及其解决方法:
MSN传播病毒Backdoor.Win32.IRCBot.acd解决方法
通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案
MSN传播病毒Backdoor.Win32.IRCBot.acd解决方法
又是一个新变种,向MSN联系人发送诱惑文字消息和伪装成照片的带有病毒自身的压缩包(如图),如果对方联系人接受并打开压缩包中的病毒文件,则系统被感染。
和以往变种不同的是,这次的新变种发送给MSN联系人的病毒压缩包文件名不固定,而且发送的消息里针对大陆用户新加入了汉语拼音。
病毒被运行后在系统目录%Windows%生成包含自身副本的ZIP压缩文件,文件名不固定,由以下字符加随机数字组成:
images0
photos0
album
photo
pictures0
picture |
例如:
images047.zip (images047.scr)
photo92.zip (photo92.scr) |
创建一个病毒副本:
%System%\printers.exe
释放一个dll文件注入进程:
%System%\notiffy.dll
创建ShellServiceObjectDelayLoad启动方式:
|
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"printers"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="notiffy.dll"
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:{2BD8B5A4-3417-4CA8-A8F8-8EBA8144454A} |
病毒给MSN联系人发送病毒压缩包的同时根据系统语言发送不同的文字消息:
Look how wasted Paris Hilton is, after she got jailed :(
You and Me !!! .... look :p
Look at my photos hihi :p
Hey please accept my photos :o !!
A photo with me and my best friend :$ !!
This is me totaly naked :o please dont send to anyone else
Look what i found on the NET :o Jessica Alba NUDE !!
bak sana Paris Hilton ne hale gelmis hapiste :(
Sen ve Ben !!! .... BAK :p
Baksana benim fotograflara hihi :p
Hey benim fotolarimi kabul et :o !!
Iyi arkadasimla fotorafdayim :$ !!
benim bu ciplak fotoda :o ama baskasina yollama
bak ne buldum :o Jessica alba ciplak !!
Regarde comment Paris Hilton parait efondr?apr鑣 qu'elle ai 閠?jeter en prison :(
Toi et moi !!! .... regarde :p
Regarde mes photos :p
Hey s'il te plait accepte mes photos :o !!
Une photo de moi et mon meilleur ami :$ !!
C'est moi totalement nu :o s'il te plait ne l'envoie a personne d'autre
Regarde ce que j'ai trouv?sur le net :o Jessica Alba NU !!
Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :(
Jij en Ik !!!! .... kijk :p
Kijk eens naar mijn fotos hihi :p
HEY !! accepteer mn fotos dan !
met mijn beste vriend op de foto !! :$
Dit ben ik naakt op de foto, stuur alsjeblieft niet door.
Kijk wat ik gevonden heb :o Jessica Alba naakt !!
guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist :(
du und ich !!! ....guck :p
siehe meine fotos hihi :p
hey bitte nimm meine fotos an :o !!
ein foto mit meinem besten freund und mir :$ !!
das bin ich total nackt :o bitte sende es niemand anderem
guck was ich im internet gefunden habe :o jessica Alba NACKT !!
Guarda come Paris Hilton sprecato ? dopo che era imprijonata :(
Tu ed io !!! .... guarda :p
Guardi le mie foto hihi :p
Mairee photos accept karo :o !!
Una foto con me ed il mio amico migliore :$ !!
Questa e me totaly nudo :o prego non trasmette a chiunque
Osservi che cosa ho trovato sul internet :o Jessica alba NUDA !!
Veja como Paris Hilton est?acabada depois de ter sido presa :(
Voc?e eu !!!! .... Veja :p
Veja as minhas fotos hehehe :p
Por favor aceite as minhas fotos :o !!
Uma foto com o meu melhor amigo e eu :$ !!
Esta sou eu totalmente nua :o por favor n鉶 mande isso pra ningu閙
Olha o que eu achei na NET :o Jessica Alba NUA !!
kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(
NI HE WO !!! .... QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN :o !!
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
Kolla hur f鰎st鰎d Paris Hilton 鋜, efter att hon f鋘gslades :(
Du och jag !! .... Kolla ;)
Kolla p?min bilder, hihi :p
Hey, acceptera mina bilder, sn鋖la :o
En bild p?mig och min b鋝ta v鋘 :$ !!!
Detta 鋜 jag HELT naken.. :o Skicka inte till n錱on annan, sn鋖la...
Kolla vad jag hittade p?n鋞et :o Jessica Alba NAKEN !!
Mira c髆o Paris Hilton es perdida despu閟 de ser encarcelada :(
Usted e yo !!! ....
Mira :p Mira mis fotos jejeje :p
Ha aceptado mis fotos por favor :o !!
Una foto con mi mejor amigo e yo :$ !!
Esta soy yo totalmente desnuda :o por favor no env韆 para nadie
Mira lo que encontr?en la WEB :o Jessica Alba DESNUDA !!
Lede hvor spild Paris Hilton er efter hun fik f鎛gsel :(
Jer og Mig !!! ... se :p
Se p?min fotos :p
Hej behage optage min foto :o !!
EN foto hos mig og min bedst ven :$ !!
denne er mig hele bar behage vage vendlig og sende den ikk til nogle :o
Lede hvad jeg fandt oven p?den net :o Jessica Alba bar !! |
尝试连接远程IRC:john.free4people.net
病毒在注册表中还创建有以下信息:
[HKEY_CURRENT_USER\Software\Microsoft\kfKJnDMR]
"gPYbYwsI"
清除步骤/方法
==========
1. 删除病毒的启动方式:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"printers"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
以及对应的:
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="notiffy.dll"
2. 重新启动计算机
3. 删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
%System%\notiffy.dll
%System%\printers.exe
%userprofile%\new.txt
以及%Windows%目录下文件名由以下字符和随机数字组成,文件大小约119KB的病毒ZIP压缩包文件:
images0
photos0
album
photo
pictures0
picture
例如:
images047.zip (images047.scr)
photo92.zip (photo92.scr)
4. 删除注册表信息:
[HKEY_CURRENT_USER\Software\Microsoft\kfKJnDMR]
PS:注册表进入方式:开始菜单-运行-输入“regedit”
|
