| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | 

您现在的位置: 中国X黑客小组 >> 技术文章 >> 安全防御 >> 病毒分析 >> 文章正文 用户登录 新用户注册
  通过MSN传播的IRCBot msnmsg.exe pic.zip 解决方案          【字体:
通过MSN传播的IRCBot msnmsg.exe pic.zip 解决方案
作者:佚名    文章来源:网络    点击数:    更新时间:2007-8-9    

病毒名称:Trojan.Win32.Delf.ads(Kaspersky)
  病毒大小:141,824 字节
  样本MD5:ef2e009208e0efef05d149ee06388dd3
  样本SHA1:45e43fb7bd4eb62d524927f5be71240a74c9bb6b
  发现时间:2007.7
  更新时间:2007.7
  传播方式:通过MSN传播

  技术分析
  ==========

  变种:
  MSN传播病毒Backdoor.Win32.IRCBot.acd解决方法
  通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案
  MSN传播病毒Backdoor.Win32.IRCBot.acd解决方法
  MSN病毒firewallav.dll printers.exe 解决方案
  MSN病毒images.zip winlog32.exe 解决方案
  通过MSN传播的IRCBot msn.exe libcintles3.dll 解决方案
  通过MSN传播的IRCBot intlprinters.exe libcintles3.dll 解决方案
  通过MSN传播的IRCBot msn.exe notice.dll 解决方案
  通过MSN传播的IRCBot msnmsg.exe pic.zip 解决方案

  病毒向MSN联系人发送消息和伪装成照片的带毒压缩包,当对方联系人接收并打开压缩包中的文件时系统受到感染。

  病毒被运行后在系统目录生成包含自身副本的ZIP压缩文件:
  %Windows%\pic.zip
  压缩包内文件名是IMG34814.pif。

  创建一个副本:
  %Windows%\msnmsg.exe

  创建启动项:


  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Genuine Logon"="msnmsg.exe"
  试图使用c:\a.bat批处理停止“安全中心”和“WinVNC”服务:

  @echo off
  net stop "Security Center"
  net stop winvnc4
  del c:\a.bat
  向MSN联系人发送消息和伪装成照片的带毒压缩包%Windows%\images.zip:


  Hey :-), I just took this picture, sexy isnt it :-P?
  What do you think of my photo editing skills?
  Which one do you like in this pic, the black one or the blue one?
  This is what happens when you eat to many chips :-P
  Look what i made out of cans!! haah :-P!
  :-p this was halarious at that party a while back
  Hey I have a new pic, what do ya think?
  Check this out this pic is so freaking cool
  Hahahaha, do you remember this picture?
  :-O Check this out! Nearly laughed my ass off!!
  hey wats up.. have you seen this pic of harry potter?
  尝试连接的远程IRC:down.basecore.info

  Mutex:LANSSS


  清除步骤
  ==========

  1. 删除病毒的启动项(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):


  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Genuine Logon"="msnmsg.exe"
  2. 重新启动计算机

  3. 删除病毒文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
  %Windows%\pic.zip
  %Windows%\msnmsg.exe
文章录入:IceRiver    责任编辑:admin 
  • 上一篇文章:

  • 下一篇文章:
    • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    最新热点 最新推荐 相关文章
    MSN视频暗藏杀机 微软补丁忙
    通过建立安全模型保障Web数据
    MSSQL数据库SA权限入侵的感悟
    MSN Space大赛官方网站入侵经
    黑客门引发人们关注 应通过有
    Thomson SpeedTouch 2030 SI
    QQ通行证木马通过伪装的页面
    “MSN性感相册”病毒变种多达
    机构数据: QQ市场占有率为M
    黑客通过窃听电话、电子邮件
      网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!)
    Powered by ICE RIVER - STUDIO
    » CnXHacker.CoM   © CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved.