|
文件名称:img1756.scr
文件大小:41984 bytes AV命名:Backdoor.Win32.SdBot.aad(卡吧斯基) 中文别名:“赛波”变种aad 加壳方式:无 编写语言:Borland Delphi 6.0 - 7.0 病毒类型:后门 文件MD5:8F8B66E936BA101EFC6E3CB5D1DEC814 文件SHA1:846e96195e07a5ee1ab2ee6e8d000793d91fd331 传播方式:MSN、系统漏洞 行为分析: 1、释放病毒附件: %Windir%\img1756.zip 42104 字节(文件名可能不一样,是个压缩包`) %Windir%\svchost.exe 41984 字节(假冒系统文件,注意路径区别) 2、%Windir%\svchost.exe 修改注册表,写入Run启动项,并获得MS数字签字认证!!! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Microsoft Genuine Logon 键名。REG_SZ子键值为 "svchost.exe " 3、释放P处理a.bat,内容为: @echo off 尝试关闭"Security Center"(安全中心)、winvnc4(远程控制)服务。 4、连接85.114.143.1**服务器(应该是德国IRC服务器),并监听1863端口(假冒MSN聊天端口)。 (整个过程中防火墙没有一点反应) 5、以无判断方式尝试启动msnmsgr.exe 路径:"C:\Program Files\MSN Messenger\msnmsgr.exe" 6、检测MSN聊天窗口,并随机出现下列对话和img1756.zip压缩包(文件名不固定): look @ my cute new puppy :-D (看我逗人喜爱的新小狗 :-D) look @ this picture of me, when I was a kid (看我小时候的照片) I just took this picture with my webcam, like it? (我用摄像头拍了这张照片,喜欢么?) check it, i shaved my head (看看它(照片),我剃了光头 )(汗``) what the **, did you see this? (TMD,你看到了什么?) hey man, did you take this picture? (伙计,你是否拍这张相片?) 利用社会工程学,诱使好友点击激活病毒。 解决方法: 先去找下MSN蠕虫专杀8``看能不能杀,省事```=。= 手工删除: 到down.45it.com下载sreng2.zip和IceSword120_cn.zip 1、关闭一切能见窗口的进程,断开网络。 2、打开,冰刃(IceSword120_cn.zip,以下均直接使用冰刃),设置禁止进线程创建。 3、打开冰刃“进程”管理,有看到C:\Svchost.exe和的结束掉(注意路径!!) 4、利用冰刃“文件”功能,删除: %Windir%\img1756.zip 42104 字节(文件名可能不一样,是个压缩包`) %Windir%\svchost.exe 41984 字节(假冒系统文件,注意路径区别) PS:%Windir%为:C:\Winnt(2000、ME系统) C:\Windows(XP、2003) 5、冰刃“注册表”功能,删除: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下的 Microsoft Genuine Logon 键(指向svchost.exe的) 找起来可能比较麻烦,也可以用SREng删除该项! 6、设置冰刃,重启并监视,然后升级杀软,全盘扫。 7、强烈建议打上系统所有补丁。。。对于MSN好友发来的压缩包,至少应该向对方确认。 |