CXYVIP官网源码交易平台_网站源码_商城源码_小程序源码平台-丞旭猿论坛
CXYVIP官网源码交易平台_网站源码_商城源码_小程序源码平台-丞旭猿论坛
CXYVIP官网源码交易平台_网站源码_商城源码_小程序源码平台-丞旭猿论坛

MSN传播病毒Backdoor.Win32.IRCBot.acd清除方法

06520
病毒名称:Backdoor.Win32.IRCBot.acd(Kaspersky)
  病毒大小:118,272 字节
  加壳方式:PE_Patch NTKrnl        
  样本MD5:71b015411d27794c3e900707ef21e6e7
  样本SHA1:934b80b2bfbb744933ad9de35bc2b588c852d08e
  发现时间:2007.7
  更新时间:2007.7
  传播方式:通过MSN传播

  技术分析

  病毒向MSN联系人发送消息和伪装成照片的带毒压缩包,对方联系人接收并打开压缩包中的病毒文件时系统被感染。

  病毒发送给MSN联系人的病毒压缩包文件名不固定,发送的消息里有汉语拼音。

  病毒被运行后在系统目录%Windows%生成包含自身副本的ZIP压缩文件,文件名不固定,由以下字符加随机数字组成:

Code:
images
photos2007_
album
photo
photo_album
image0

例如:

  photos2007_79.zip (photos2007_79.scr)
  photo12.zip (photo12.scr)

  创建病毒副本:
  %System%msn.exe

  释放dll注入进程:
  %System%notice.dll

  创建ShellServiceObjectDelayLoad启动方式:

  
Code:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
“modems”=”{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}”

[HKEY_CLASSES_ROOTCLSID{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}InProcServer32]
@=”notice.dll”

  注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:{8EA5A050-8F75-4443-9830-9949156E066F}

  病毒根据染毒系统的语言给MSN联系人发送相应的文字消息,同时发送带毒ZIP压缩包:

Quote:
Hey please look at me and my pet ..  :p
Looking for hot summer pictures  ? well here they are !! (h)
Look at me and my volleyball team, working our asses offff (h)
Hey please look at me and my pet .. :p
Psssssst …. just between me and you, please accept :$
This is me totaly naked 😮 please dont send to anyone else

bak sana  Paris Hilton ne hale gelmis hapiste 🙁
Sen ve Ben !!! …. BAK :p
Baksana benim fotograflara hihi :p
Hey benim fotolarimi kabul et 😮 !!
Iyi arkadasimla fotorafdayim :$ !!
benim bu ciplak fotoda 😮 ama baskasina yollama

Regarde les tof de mes vacances en tunisie loool
Toi et moi !!! …. regarde :p
hey stp regarde mes tof !
Hey s’il te plait accepte mes photos 😮 !!
Une tof de moi et …:$ !!

Kijk hoe erg Paris Hilton er aan toe is na gevangenschap 🙁
Jij en Ik !!!! …. kijk :p
Kijk eens naar mijn fotos hihi :p
HEY !! accepteer mn fotos dan !
met mijn beste vriend op de foto !! :$
Dit ben ik naakt op de foto, stuur alsjeblieft niet door.

guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist 🙁
du und ich !!! ….guck :p
siehe meine fotos hihi :p
hey bitte nimm meine fotos an 😮 !!
ein foto mit meinem besten freund und mir :$ !!
das bin ich total nackt 😮 bitte sende es niemand anderem

Guarda come Paris Hilton sprecato ? dopo che era imprijonata 🙁
Tu ed io !!! …. guarda :p
Guardi le mie foto hihi :p
Mairee photos accept karo 😮 !!
Una foto con me ed il mio amico migliore :$ !!
Questa e me totaly nudo 😮 prego non trasmette a chiunque

Veja como Paris Hilton est?acabada depois de ter sido presa 🙁
Voc?e eu !!!! …. Veja :p
Veja as minhas fotos hehehe :p
Por favor aceite as minhas fotos 😮 !!
Uma foto com o meu melhor amigo e eu :$ !!
Esta sou eu totalmente nua 😮 por favor n鉶 mande isso pra ningu閙

kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI 🙁
NI HE WO !!! …. QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN 😮 !!
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
ZHE SHI WO DE LUOZHAO 😮 QING BU YAO FA GEI BIEREN !!

Kolla hur f鰎st鰎d Paris Hilton 鋜, efter att hon f鋘gslades 🙁
Du och jag !! …. Kolla 😉
Kolla p?min bilder, hihi :p
Hey, acceptera mina bilder, sn鋖la 😮
En bild p?mig och min b鋝ta v鋘 :$ !!!
Detta 鋜 jag HELT naken.. 😮 Skicka inte till n錱on annan, sn鋖la…

Mira c髆o Paris Hilton es perdida despu閟 de ser encarcelada 🙁
Usted e yo !!! …. Mira :p
Mira mis fotos jejeje :p
Ha aceptado mis fotos por favor 😮 !!
Una foto con mi mejor amigo e yo :$ !!
Esta soy yo totalmente desnuda 😮 por favor no env韆 para nadie

Lede hvor spild Paris Hilton er efter hun fik f鎛gsel 🙁
Jer og Mig !!! … se :p
Se p?min fotos :p
Hej behage optage min foto 😮 !!
EN foto hos mig og min bedst ven :$ !!
denne er mig hele bar behage vage vendlig og sende den ikk til nogle 😮

尝试连接远程IRC:john.free4people.net

  清除步骤
  ==========

  1. 删除病毒的启动方式(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):

  
Code:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
“modems”=”{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}”

以及对应的:

  
Code:
[HKEY_CLASSES_ROOTCLSID{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}InProcServer32]
@=”notice.dll”

  2. 重新启动计算机

  3. 删除文件
  %System%msn.exe
  %System%notice.dll
  %userprofile%new.txt
  %userprofile%{6位随机字母}.exe
  以及%Windows%目录下文件名由以下字符和随机数字组成,文件大小约116KB的病毒压缩包文件:

  
Code:
images
  photos2007_
  album
  photo
  photo_album
  image0

  例如:

  photos2007_79.zip (photos2007_79.scr)
  photo12.zip (photo12.scr)

以上就是【MSN传播病毒Backdoor.Win32.IRCBot.acd清除方法】的全部内容了,欢迎留言评论进行交流!

© 版权声明
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!邮箱:cxysz1@tom.com
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,请使用WINRAR解压,如遇到无法解压的请联系管理员!
8. 精力有限,不少源码未能详细测试(解密),不能分辨部分源码是病毒还是误报,所以没有进行任何修改,大家使用前请进行甄别
丞旭猿论坛
THE END
技术文档
# mes# erp
喜欢就支持一下吧
点赞0赞赏 分享
丞旭猿的头像-丞旭猿合伙人
创维e900机顶盒使用手册(干货满满)创维e900机顶盒配置,山东联通版创维E900V21C盒子刷入Armbiam并安装宝塔和Docker,-丞旭猿
创维e900机顶盒使用手册(干货满满)创维e900机顶盒配置,山东联通版创维E900V21C盒子刷入Armbiam并安装宝塔和Docker,
创维e900机顶盒使用手册(干货满满)创维e900机顶盒配置,山东联通版...
2年前 5360
2022年最新wordpress主题破解版本Zibll子比主题V6.5最新完美破解版 全网首发 丞旭猿站长亲测-丞旭猿
2022年最新wordpress主题破解版本Zibll子比主题V6.5最新完美破解版 全网首发 丞旭猿站长亲测
2022年最新wordpress主题破解版本Zibll子比主题V6.5最新完美破解版 ...
2年前 3437
java开发智慧停车场源码免费下载SpringBoot+Vue智能停车场管理平台源码-丞旭猿
java开发智慧停车场源码免费下载SpringBoot+Vue智能停车场管理平台源码
java开发智慧停车场源码免费下载SpringBoot+Vue智能停车场管理平台源...
2年前 3380
SpringBoot生产制造执行MES系统源码 MES源码-丞旭猿
SpringBoot生产制造执行MES系统源码 MES源码
SpringBoot生产制造执行MES系统源码 MES源码
1年前 3108
源码免费下载2022最新彩虹易支付系统二开版本带教程支付系统源码-丞旭猿
源码免费下载2022最新彩虹易支付系统二开版本带教程支付系统源码
源码免费下载2022最新彩虹易支付系统二开版本带教程支付系统源码
2年前 3104
discuzq使用教程(墙裂推荐)discuz,Discuz! Q 使用宝塔安装的最全教程(2020年5月更新),-丞旭猿
discuzq使用教程(墙裂推荐)discuz,Discuz! Q 使用宝塔安装的最全教程(2020年5月更新),
discuzq使用教程(墙裂推荐)discuz,Discuz! Q 使用宝塔安装的最全...
2年前 3009
相关推荐
apache免费开源许可证(这都可以?)apache license 2.0 开源协议,中国开源创企调查:Apache 2.0 许可证是最大赢家,丞旭猿免费源码交易平台,-丞旭猿
apache免费开源许可证(这都可以?)apache license 2.0 开源协议,中国开源创企调查:Apache 2.0 许可证是最大赢家,丞旭猿免费源码交易平台,
apache免费开源许可证(这都可以?)apache license 2.0 开源协议,中国开源创企调查:Apache 2....
1年前 583
河北省邢台市计划生育网上办事大厅(这都可以)河北省邢台市有多少个县,河北省邢台市统战部门开展“乡情招商”,开源平台,-丞旭猿
河北省邢台市计划生育网上办事大厅(这都可以)河北省邢台市有多少个县,河北省邢台市统战部门开展“乡情招商”,开源平台,
河北省邢台市计划生育网上办事大厅(这都可以)河北省邢台市有多少个县,河北省邢台市统战部门开...
1年前 748
双甘膦厂家排名(燃爆了)双甘膦龙头企业,规范 全球最大的双甘膦供应商,产能为15万吨/年,利润率达46%,股价仅3,免费源码交易平台,-丞旭猿
双甘膦厂家排名(燃爆了)双甘膦龙头企业,规范 全球最大的双甘膦供应商,产能为15万吨/年,利润率达46%,股价仅3,免费源码交易平台,
双甘膦厂家排名(燃爆了)双甘膦龙头企业,规范 全球最大的双甘膦供应商,产能为15万吨/年,利润率...
1年前 589
纳米比亚独立事件(全程干货)纳米比亚与美国关系,纳米比亚在其附近海域发现美国“间谍船”? 中方:美国是全球最大的监控、侦察国家,开源平台,-丞旭猿
纳米比亚独立事件(全程干货)纳米比亚与美国关系,纳米比亚在其附近海域发现美国“间谍船”? 中方:美国是全球最大的监控、侦察国家,开源平台,
纳米比亚独立事件(全程干货)纳米比亚与美国关系,纳米比亚在其附近海域发现美国“间谍船”? ...
1年前 394
中国房企境外融资排名(万万没想到)中国房企境外融资规模,房企融资迎新变化 境外债“开门红”后担忧仍在,源码交易平台,-丞旭猿
中国房企境外融资排名(万万没想到)中国房企境外融资规模,房企融资迎新变化 境外债“开门红”后担忧仍在,源码交易平台,
中国房企境外融资排名(万万没想到)中国房企境外融资规模,房企融资迎新变化 境外债“开门红”...
1年前 700
大足2021新项目建设(满满干货)大足区2021年怎么发展规划建设,大足 加快做优做强园区景区城区发展平台,免费源码交易平台,-丞旭猿
大足2021新项目建设(满满干货)大足区2021年怎么发展规划建设,大足 加快做优做强园区景区城区发展平台,免费源码交易平台,
大足2021新项目建设(满满干货)大足区2021年怎么发展规划建设,大足 加快做优做强园区景区城区...
1年前 666
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称
  • 邮箱
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片

    暂无评论内容

会员中心
默认头像
开启精彩搜索

热门搜索

热榜文章
风车IM附APP链动2+1金蝶系统酒店蝴蝶池苹果cms聊天APP社区论坛点大商城V2版源码抖音恋爱主题微擎微信小程序微信公众号端影视客服商城口红机
CXYVIP官网源码交易平台_网站源码_商城源码_小程序源码平台-丞旭猿论坛
CXYVIP官网源码交易平台_网站源码_商城源码_小程序源码平台-丞旭猿论坛
CXYVIP官网源码交易平台_网站源码_商城源码_小程序源码平台-丞旭猿论坛