MSN传播病毒Backdoor.Win32.IRCBot.acd清除方法

病毒名称:Backdoor.Win32.IRCBot.acd(Kaspersky)
  病毒大小:118,272 字节
  加壳方式:PE_Patch NTKrnl        
  样本MD5:71b015411d27794c3e900707ef21e6e7
  样本SHA1:934b80b2bfbb744933ad9de35bc2b588c852d08e
  发现时间:2007.7
  更新时间:2007.7
  传播方式:通过MSN传播


  技术分析


  病毒向MSN联系人发送消息和伪装成照片的带毒压缩包,对方联系人接收并打开压缩包中的病毒文件时系统被感染。

  病毒发送给MSN联系人的病毒压缩包文件名不固定,发送的消息里有汉语拼音。

  病毒被运行后在系统目录%Windows%生成包含自身副本的ZIP压缩文件,文件名不固定,由以下字符加随机数字组成:


Code:
images
photos2007_
album
photo
photo_album
image0



例如:

  photos2007_79.zip (photos2007_79.scr)
  photo12.zip (photo12.scr)

  创建病毒副本:
  %System%\msn.exe

  释放dll注入进程:
  %System%\notice.dll

  创建ShellServiceObjectDelayLoad启动方式:


  
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"modems"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="notice.dll"

  注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:{8EA5A050-8F75-4443-9830-9949156E066F}


  病毒根据染毒系统的语言给MSN联系人发送相应的文字消息,同时发送带毒ZIP压缩包:



Quote:
Hey please look at me and my pet ..  :p
Looking for hot summer pictures  ? well here they are !! (h)
Look at me and my volleyball team, working our asses offff (h)
Hey please look at me and my pet .. :p
Psssssst .... just between me and you, please accept :$
This is me totaly naked :o please dont send to anyone else

bak sana  Paris Hilton ne hale gelmis hapiste :(
Sen ve Ben !!! .... BAK :p
Baksana benim fotograflara hihi :p
Hey benim fotolarimi kabul et :o !!
Iyi arkadasimla fotorafdayim :$ !!
benim bu ciplak fotoda :o ama baskasina yollama

Regarde les tof de mes vacances en tunisie loool
Toi et moi !!! .... regarde :p
hey stp regarde mes tof !
Hey s'il te plait accepte mes photos :o !!
Une tof de moi et ...:$ !!

Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :(
Jij en Ik !!!! .... kijk :p
Kijk eens naar mijn fotos hihi :p
HEY !! accepteer mn fotos dan !
met mijn beste vriend op de foto !! :$
Dit ben ik naakt op de foto, stuur alsjeblieft niet door.

guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist :(
du und ich !!! ....guck :p
siehe meine fotos hihi :p
hey bitte nimm meine fotos an :o !!
ein foto mit meinem besten freund und mir :$ !!
das bin ich total nackt :o bitte sende es niemand anderem

Guarda come Paris Hilton sprecato ? dopo che era imprijonata :(
Tu ed io !!! .... guarda :p
Guardi le mie foto hihi :p
Mairee photos accept karo :o !!
Una foto con me ed il mio amico migliore :$ !!
Questa e me totaly nudo :o prego non trasmette a chiunque

Veja como Paris Hilton est?acabada depois de ter sido presa :(
Voc?e eu !!!! .... Veja :p
Veja as minhas fotos hehehe :p
Por favor aceite as minhas fotos :o !!
Uma foto com o meu melhor amigo e eu :$ !!
Esta sou eu totalmente nua :o por favor n�o mande isso pra ningu�m

kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(
NI HE WO !!! .... QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN :o !!
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!

Kolla hur f�rst�rd Paris Hilton �r, efter att hon f�ngslades :(
Du och jag !! .... Kolla ;)
Kolla p?min bilder, hihi :p
Hey, acceptera mina bilder, sn�lla :o
En bild p?mig och min b�sta v�n :$ !!!
Detta �r jag HELT naken.. :o Skicka inte till n�gon annan, sn�lla...

Mira c�mo Paris Hilton es perdida despu�s de ser encarcelada :(
Usted e yo !!! .... Mira :p
Mira mis fotos jejeje :p
Ha aceptado mis fotos por favor :o !!
Una foto con mi mejor amigo e yo :$ !!
Esta soy yo totalmente desnuda :o por favor no env�a para nadie

Lede hvor spild Paris Hilton er efter hun fik f�ngsel :(
Jer og Mig !!! ... se :p
Se p?min fotos :p
Hej behage optage min foto :o !!
EN foto hos mig og min bedst ven :$ !!
denne er mig hele bar behage vage vendlig og sende den ikk til nogle :o



尝试连接远程IRC:john.free4people.net


  清除步骤
  ==========

  1. 删除病毒的启动方式(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):


  
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"modems"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"


以及对应的:


  
Code:
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="notice.dll"


  2. 重新启动计算机

  3. 删除文件
  %System%\msn.exe
  %System%\notice.dll
  %userprofile%\new.txt
  %userprofile%\{6位随机字母}.exe
  以及%Windows%目录下文件名由以下字符和随机数字组成,文件大小约116KB的病毒压缩包文件:


  
Code:
images
  photos2007_
  album
  photo
  photo_album
  image0

  例如:


  photos2007_79.zip (photos2007_79.scr)
  photo12.zip (photo12.scr)

你可能感兴趣的:(MSN传播病毒Backdoor.Win32.IRCBot.acd清除方法)