【警惕!!!】MSN蠕虫
今天刚收到的样本``该病毒源MSN传播```03年貌似相当流行``最近又蠢蠢欲动了````
孤独更可靠提醒MSN用户提高警惕。
Aditional Information
File size: 479232 bytes
MD5: 9784ab71076f583ce02de0340554aefa
SHA1: 02965774e26055bdf9a1e5dc223fd1bde2b74347
RIPEMD160: 68091AF5EBD118BA1A174893CC06FD3F9A52F60D
Tiger_192: BE1BC2CD7409BDD56594917CAA9C790FB0E081D6F4B8A90E
加壳方式:未知变异壳
MD5: 9784ab71076f583ce02de0340554aefa
SHA1: 02965774e26055bdf9a1e5dc223fd1bde2b74347
RIPEMD160: 68091AF5EBD118BA1A174893CC06FD3F9A52F60D
Tiger_192: BE1BC2CD7409BDD56594917CAA9C790FB0E081D6F4B8A90E
加壳方式:未知变异壳
行为:
运行病毒后,自身拷贝自身病毒压缩包(photos album-2007-5-26.rar或Photos.Zip)至%systemroot%,并释放syshosts.dll.
在%systemroot%\system32\下,22016 字节,随后动态技术插入进程,修改程序的虚拟内存并更改内存属性。(喧宾夺主)
检测进程skymsn.exe或msn.exe进程,有则注入。向MSN好友发送%systemroot%\下的压缩包(病毒文件包),并发送如下短信:
its only my photos!
Here are my private pictures for you
Here are my pictures from my vacation
My friend took nice photos of me.you Should see em loL!
Nice new photos of me and my friends and stuff and when i was young lol...
Nice new photos of me!! :p
Check out my sexy boobs :D
诱惑好友点击,其实不是图片格式,是个scr格式,不过也是可以执行的```
并在下面注册表写入键值(
每台机子都不一样哦):
[HKEY_CLASSES_ROOT\CLSID\{5F2BFCB1-1C9C-4296-8A19-4CB16F19D790}]
[HKEY_CLASSES_ROOT\CLSID\{5F2BFCB1-1C9C-4296-8A19-4CB16F19D790}\InProcServer32]
@="syshosts.dll"
@="syshosts.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"syshosts"="{5F2BFCB1-1C9C-4296-8A19-4CB16F19D790}"
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"syshosts"="{5F2BFCB1-1C9C-4296-8A19-4CB16F19D790}"
随后连接远程IRC服务器( [url]www.free8.biz[/url])?,等待命令,尝试发动DOS攻击,(测试时并未实现)
并通过IRC服务器,以校验MD5方式下载其他病毒(也未实现)
行为比较恶劣````
解决方法:
下载工具PowerRMV 和SREng
下载地址: [url]http://free.ys168.com/?gudugengkekao[/url]
下载后直接放桌面,断开网络``关闭一切不必要的进程,按步骤```
1、打开PowerRMV。填入:
C:\windows\system32\syshosts.dll
(注意,如果是2K系统的话,则是C:\Winnt\system32\syshosts.dll)
2、打开SREng,删除:
注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<syshosts><syshosts.dll> []
<syshosts><syshosts.dll> []
3、开始-运行-regedit,查找syshosts.dll所有键值,然后删除,怕删错的话备份````
4、在C:\Windows\下查找类似photos album-2007-5-26.rar或Photos.Zip的压缩包,删除掉!
另:不要随便接收陌生人发送的东西(邮件)和点击陌生的网址,因为这很可能是一个陷阱!
另:祝广大网友6.1节日快乐 ^_^
