病毒大小:118,272 字节
加壳方式:PE_Patch NTKrnl
样本MD5:71b015411d27794c3e900707ef21e6e7
样本SHA1:934b80b2bfbb744933ad9de35bc2b588c852d08e
发现时间:2007.7
更新时间:2007.7
传播方式:通过MSN传播
技术分析
病毒向MSN联系人发送消息和伪装成照片的带毒压缩包,对方联系人接收并打开压缩包中的病毒文件时系统被感染。
病毒发送给MSN联系人的病毒压缩包文件名不固定,发送的消息里有汉语拼音。
病毒被运行后在系统目录%Windows%生成包含自身副本的ZIP压缩文件,文件名不固定,由以下字符加随机数字组成:
Code:
images
photos2007_
album
photo
photo_album
image0
例如:
photos2007_79.zip (photos2007_79.scr)
photo12.zip (photo12.scr)
创建病毒副本:
%System%\msn.exe
释放dll注入进程:
%System%\notice.dll
创建ShellServiceObjectDelayLoad启动方式:
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"modems"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="notice.dll"
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:{8EA5A050-8F75-4443-9830-9949156E066F}
病毒根据染毒系统的语言给MSN联系人发送相应的文字消息,同时发送带毒ZIP压缩包:
Quote:
Hey please look at me and my pet .. :p
Looking for hot summer pictures ? well here they are !! (h)
Look at me and my volleyball team, working our asses offff (h)
Hey please look at me and my pet .. :p
Psssssst .... just between me and you, please accept :$
This is me totaly naked :o please dont send to anyone else
bak sana Paris Hilton ne hale gelmis hapiste :(
Sen ve Ben !!! .... BAK :p
Baksana benim fotograflara hihi :p
Hey benim fotolarimi kabul et :o !!
Iyi arkadasimla fotorafdayim :$ !!
benim bu ciplak fotoda :o ama baskasina yollama
Regarde les tof de mes vacances en tunisie loool
Toi et moi !!! .... regarde :p
hey stp regarde mes tof !
Hey s'il te plait accepte mes photos :o !!
Une tof de moi et ...:$ !!
Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :(
Jij en Ik !!!! .... kijk :p
Kijk eens naar mijn fotos hihi :p
HEY !! accepteer mn fotos dan !
met mijn beste vriend op de foto !! :$
Dit ben ik naakt op de foto, stuur alsjeblieft niet door.
guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist :(
du und ich !!! ....guck :p
siehe meine fotos hihi :p
hey bitte nimm meine fotos an :o !!
ein foto mit meinem besten freund und mir :$ !!
das bin ich total nackt :o bitte sende es niemand anderem
Guarda come Paris Hilton sprecato ? dopo che era imprijonata :(
Tu ed io !!! .... guarda :p
Guardi le mie foto hihi :p
Mairee photos accept karo :o !!
Una foto con me ed il mio amico migliore :$ !!
Questa e me totaly nudo :o prego non trasmette a chiunque
Veja como Paris Hilton est?acabada depois de ter sido presa :(
Voc?e eu !!!! .... Veja :p
Veja as minhas fotos hehehe :p
Por favor aceite as minhas fotos :o !!
Uma foto com o meu melhor amigo e eu :$ !!
Esta sou eu totalmente nua :o por favor n�o mande isso pra ningu�m
kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(
NI HE WO !!! .... QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN :o !!
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
Kolla hur f�rst�rd Paris Hilton �r, efter att hon f�ngslades :(
Du och jag !! .... Kolla ;)
Kolla p?min bilder, hihi :p
Hey, acceptera mina bilder, sn�lla :o
En bild p?mig och min b�sta v�n :$ !!!
Detta �r jag HELT naken.. :o Skicka inte till n�gon annan, sn�lla...
Mira c�mo Paris Hilton es perdida despu�s de ser encarcelada :(
Usted e yo !!! .... Mira :p
Mira mis fotos jejeje :p
Ha aceptado mis fotos por favor :o !!
Una foto con mi mejor amigo e yo :$ !!
Esta soy yo totalmente desnuda :o por favor no env�a para nadie
Lede hvor spild Paris Hilton er efter hun fik f�ngsel :(
Jer og Mig !!! ... se :p
Se p?min fotos :p
Hej behage optage min foto :o !!
EN foto hos mig og min bedst ven :$ !!
denne er mig hele bar behage vage vendlig og sende den ikk til nogle :o
尝试连接远程IRC:john.free4people.net
清除步骤
==========
1. 删除病毒的启动方式(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"modems"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
以及对应的:
Code:
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="notice.dll"
2. 重新启动计算机
3. 删除文件
%System%\msn.exe
%System%\notice.dll
%userprofile%\new.txt
%userprofile%\{6位随机字母}.exe
以及%Windows%目录下文件名由以下字符和随机数字组成,文件大小约116KB的病毒压缩包文件:
Code:
images
photos2007_
album
photo
photo_album
image0
例如:
photos2007_79.zip (photos2007_79.scr)
photo12.zip (photo12.scr)