病毒大小:118,272 字节
加壳方式:PE_Patch NTKrnl
样本MD5:71b015411d27794c3e900707ef21e6e7
样本SHA1:934b80b2bfbb744933ad9de35bc2b588c852d08e
发现时间:2007.7
更新时间:2007.7
传播方式:通过MSN传播
技术分析
病毒向MSN联系人发送消息和伪装成照片的带毒压缩包,对方联系人接收并打开压缩包中的病毒文件时系统被感染。
病毒发送给MSN联系人的病毒压缩包文件名不固定,发送的消息里有汉语拼音。
病毒被运行后在系统目录%Windows%生成包含自身副本的ZIP压缩文件,文件名不固定,由以下字符加随机数字组成:
Code:
images
photos2007_
album
photo
photo_album
image0
例如:
photos2007_79.zip (photos2007_79.scr)
photo12.zip (photo12.scr)
创建病毒副本:
%System%msn.exe
释放dll注入进程:
%System%notice.dll
创建ShellServiceObjectDelayLoad启动方式:
Code:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
“modems”=”{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}”
[HKEY_CLASSES_ROOTCLSID{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}InProcServer32]
@=”notice.dll”
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:{8EA5A050-8F75-4443-9830-9949156E066F}
病毒根据染毒系统的语言给MSN联系人发送相应的文字消息,同时发送带毒ZIP压缩包:
Quote:
Hey please look at me and my pet .. :p
Looking for hot summer pictures ? well here they are !! (h)
Look at me and my volleyball team, working our asses offff (h)
Hey please look at me and my pet .. :p
Psssssst …. just between me and you, please accept :$
This is me totaly naked 😮 please dont send to anyone else
bak sana Paris Hilton ne hale gelmis hapiste 🙁
Sen ve Ben !!! …. BAK :p
Baksana benim fotograflara hihi :p
Hey benim fotolarimi kabul et 😮 !!
Iyi arkadasimla fotorafdayim :$ !!
benim bu ciplak fotoda 😮 ama baskasina yollama
Regarde les tof de mes vacances en tunisie loool
Toi et moi !!! …. regarde :p
hey stp regarde mes tof !
Hey s’il te plait accepte mes photos 😮 !!
Une tof de moi et …:$ !!
Kijk hoe erg Paris Hilton er aan toe is na gevangenschap 🙁
Jij en Ik !!!! …. kijk :p
Kijk eens naar mijn fotos hihi :p
HEY !! accepteer mn fotos dan !
met mijn beste vriend op de foto !! :$
Dit ben ik naakt op de foto, stuur alsjeblieft niet door.
guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist 🙁
du und ich !!! ….guck :p
siehe meine fotos hihi :p
hey bitte nimm meine fotos an 😮 !!
ein foto mit meinem besten freund und mir :$ !!
das bin ich total nackt 😮 bitte sende es niemand anderem
Guarda come Paris Hilton sprecato ? dopo che era imprijonata 🙁
Tu ed io !!! …. guarda :p
Guardi le mie foto hihi :p
Mairee photos accept karo 😮 !!
Una foto con me ed il mio amico migliore :$ !!
Questa e me totaly nudo 😮 prego non trasmette a chiunque
Veja como Paris Hilton est?acabada depois de ter sido presa 🙁
Voc?e eu !!!! …. Veja :p
Veja as minhas fotos hehehe :p
Por favor aceite as minhas fotos 😮 !!
Uma foto com o meu melhor amigo e eu :$ !!
Esta sou eu totalmente nua 😮 por favor n鉶 mande isso pra ningu閙
kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI 🙁
NI HE WO !!! …. QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN 😮 !!
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
ZHE SHI WO DE LUOZHAO 😮 QING BU YAO FA GEI BIEREN !!
Kolla hur f鰎st鰎d Paris Hilton 鋜, efter att hon f鋘gslades 🙁
Du och jag !! …. Kolla 😉
Kolla p?min bilder, hihi :p
Hey, acceptera mina bilder, sn鋖la 😮
En bild p?mig och min b鋝ta v鋘 :$ !!!
Detta 鋜 jag HELT naken.. 😮 Skicka inte till n錱on annan, sn鋖la…
Mira c髆o Paris Hilton es perdida despu閟 de ser encarcelada 🙁
Usted e yo !!! …. Mira :p
Mira mis fotos jejeje :p
Ha aceptado mis fotos por favor 😮 !!
Una foto con mi mejor amigo e yo :$ !!
Esta soy yo totalmente desnuda 😮 por favor no env韆 para nadie
Lede hvor spild Paris Hilton er efter hun fik f鎛gsel 🙁
Jer og Mig !!! … se :p
Se p?min fotos :p
Hej behage optage min foto 😮 !!
EN foto hos mig og min bedst ven :$ !!
denne er mig hele bar behage vage vendlig og sende den ikk til nogle 😮
尝试连接远程IRC:john.free4people.net
清除步骤
==========
1. 删除病毒的启动方式(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):
Code:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
“modems”=”{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}”
以及对应的:
Code:
[HKEY_CLASSES_ROOTCLSID{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}InProcServer32]
@=”notice.dll”
2. 重新启动计算机
3. 删除文件
%System%msn.exe
%System%notice.dll
%userprofile%new.txt
%userprofile%{6位随机字母}.exe
以及%Windows%目录下文件名由以下字符和随机数字组成,文件大小约116KB的病毒压缩包文件:
Code:
images
photos2007_
album
photo
photo_album
image0
例如:
photos2007_79.zip (photos2007_79.scr)
photo12.zip (photo12.scr)
以上就是【MSN传播病毒Backdoor.Win32.IRCBot.acd清除方法】的全部内容了,欢迎留言评论进行交流!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,请使用WINRAR解压,如遇到无法解压的请联系管理员!
8. 精力有限,不少源码未能详细测试(解密),不能分辨部分源码是病毒还是误报,所以没有进行任何修改,大家使用前请进行甄别
丞旭猿论坛
暂无评论内容