PictureAlbum2007.zip(Trojan.Win32.Delf.ads )

MSN蠕虫``分析过很多了,简单写了``
 
1、释放病毒文件:
C:\Windows\PictureAlbum2007.zip 62116 字节( 压缩包)
C:\Windows\system32\awtqrpn.dll(名字可能会不一样)
C:\WINNT\system32\prodigys323.dll(名字可能会不一样)
 
这3个是主体,后面下载的病毒自己用杀软解决``
 
2、注册表修改,实现Dll无载体启动:
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
     <prodigy1><prodigys323.dll>   []
 
3、连接Irc.oc256.***(英国)IRC服务器下载木马(未下载全)
 
好像下了3个这样子。
 
由注入进程的prodigys323.dll完成,并隔段时间检测PictureAlbum2007.zip是否存在。
 
如不在则从IRC服务器重新下载。
 
4、会在MSN聊天对话中随机发送图1内容文字并和PictureAlbum2007.zip一起发送。
 
解决方法:
 
网上搜索MSN蠕虫专杀,不能杀掉的话,看下面:
 
[url]http://free.ys168.com/?gudugengkekao[/url]下载:
 
图片点击可在新窗口打开查看 冰刃.rar 2,110KB
 
图片点击可在新窗口打开查看 sreng2.5.zip 780KB
 
1、断开网络,关闭不需要的进程。
 
2、首先打开SREng,查找例如下面的启动项,并记住它们的名字(这点注意):
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
     <prodigy1><prodigys323.dll>   []
 
prodigys323.dll这个可能名字不一样。名字在百度、google等搜索不到。
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
     <{F4002052-AB29-4B33-8C8D-0E99084564EC}><C:\Windows\system32\fccdbbc.dll>   []
 
这个是其中一个木马释放的,名字可能也不一样!
 
F4002052-AB29-4B33-8C8D-0E99084564EC也不相同,注意区别哈。
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccdbbc]
     <WinlogonNotify: fccdbbc><fccdbbc.dll>   []
 
同上,名字可能会不一样。
 
3、重启电脑,再次打开SREng,如果上述启动项已不在的话,把对应的文件删除就可以了。
 
并且删除C:\Windows\PictureAlbum2007.zip压缩包。
 
4、如果上述启动项还在的话,按F3查找它们名字。
 
(也可以到Windows和system32目录下选择以“按日期”排列图标,当然最后几个就有可能是病毒(图2)
 
找到后用冰刃禁止线程创建删除文件和他们的注册表项,后用“重启并监视”关闭系统。
 
5、升级杀软,再全盘扫。(12号的杀软报的还不是很多)
 
图1:
 
 
 
 
图2:
 
 
 
 
图3:
 
 
AD:
上述方法无法清除的请发样本至 [email protected]
用Winra加密virus
不会加密的加Q526170722传送``=。=

你可能感兴趣的:(职场,休闲,MSN蠕虫)