病毒名称:Backdoor.Win32.SdBot.aad(Kaspersky) 病毒别名:W32/Generic.Delphi.a(McAfee) Trojan.Win32.Agent.kr(瑞星) 病毒大小:41,984 字节 加壳方式: 样本MD5:8f8b66e936ba101efc6e3cb5d1dec814 样本SHA1:846e96195e07a5ee1ab2ee6e8d000793d91fd331 发现时间:2007.8 更新时间:2007.8 关联病毒: 传播方式:通过MSN传播 技术分析 ========== 病毒向MSN联系人发送消息和伪装成照片的带毒压缩包,当对方联系人接收并打开压缩包中的文件时系统受到感染。 病毒被运行后在系统目录生成包含自身副本的ZIP压缩文件: %Windows%\img1756.zip 压缩包内文件名是img1756.scr,图标使用了XP系统的一个图片文件图标。 创建副本: %Windows%\svchost.exe 创建启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Microsoft Genuine Logon"="svchost.exe" 试图使用C:\a.bat批处理停止“安全中心”和“WinVNC”服务: @echo off net stop "Security Center" net stop winvnc4 del c:\a.bat 向MSN联系人发送消息和伪装成照片的带毒压缩包%Windows%\img1756.zip: look @ my cute new puppy :-D look @ this picture of me, when I was a kid I just took this picture with my webcam, like it? check it, i shaved my head have u seen my new hair? what the fuck, did you see this? hey man, did you take this picture? 尝试连接的远程IRC:vpn.basecore.info Mutex: JFangaY 清除步骤 ========== 1. 删除病毒的启动项(到down.45it.com下载IceSword120_cn.zip(冰刃),依次删除下面项目): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Microsoft Genuine Logon"="svchost.exe" 2. 重新启动计算机 3. 删除病毒文件(到down.45it.com下载IceSword120_cn.zip(冰刃)详细步骤:打开冰刃-文件-依次找到病毒文件删除即可): %Windows%\svchost.exe %Windows%\img1756.zip |