警惕新MSN蠕虫(album.scr)Backdoor.Win32.IRCBot.acd

文件名称:album11.scr
文件大小:116736 byte
AV命名:Backdoor.Win32.IRCBot.acd(卡吧斯基)
加壳方式:Ntkrnl protector
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:后门(IRC)
文件MD5:EF5B233300CF8F9C3C9B0A861111EC8D
文件SHA1:33388AD6BFAB9BE01E4754AC482098E142BF395C
传播方式:MSN、网络。
 
行为分析:
 
1、释放病毒文件:
 
%Systemroot%\images3.zip   116856 字节 (病毒副本)
注意!可能文件名不一样。
%Systemroot%\system32\libcintles3.dll   26000 字节
%Systemroot%\system32\msn.exe   116736 字节
%Systemroot%为:C:\Winnt(2000、ME系统) C:\Windows(XP、2003)
 
2、libcintles3.dll 注入Explorer进程,检测MSN窗口,尝试发送病毒副本和一些诱人的语言(未实现)
 
(接收并运行病毒文件的MSN好友则成为新的传播体``)
 
3、连接远程IRC服务器(89.188.16.60)等待黑客命令(穿防火墙),从而沦落为肉机。
 
4、如检测到无MSN进程,则隔段时间以无判断的方式尝试激活:
 
C:\Program Files\MSN Messenger\msnmsgr.exe
5、连接IRC服务器下载文件:
 
C:\Documents and Settings\administrator\qndqoh.exe   5548 字节
C:\Documents and Settings\administrator\cfqxuk.exe   5548 字节
(文件名不固定)
不是可执行文件。通过抓包分析,应该是根据里面记录的一些网站进行攻击。
 
6、libcintles3.dll修改注册表:
 
HKEY_CLASSES_ROOT\CLSID\{8F8F79EA-CD94-411D-BB9A-BBC2E7E54CD5}\InProcServer32\
REG_SZ, "libcintles3.dll "
注意,{8F8F79EA-CD94-411D-BB9A-BBC2E7E54CD5}可能不一样。
 
实现开机注入进程。
 
还有个:
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\printers
 
指向的是{8F8F79EA-CD94-411D-BB9A-BBC2E7E54CD5}
 
呵呵,比较隐蔽。以前的MSN蠕虫貌似没有添加这个。
 
解决方法:
 
推荐:去网上查找下MSN蠕虫专杀吧``比较省事`` =。=
 
手工清除:
 
[url]http://free.ys168.com/?gudugengkekao[/url]下载:
 
图片点击可在新窗口打开查看 冰刃.rar 2,110KB
 
图片点击可在新窗口打开查看 sreng2.5.zip 780KB
 
直接放桌面,断开网络。
 
 
1、打开冰刃,禁止线程创建,确定。
 
2、使用冰刃“文件”功能,删除:
 
%Systemroot%\images3.zip   116856 字节 (病毒副本)
(注意变通,文件名不固定的)
%Systemroot%\system32\libcintles3.dll   26000 字节
%Systemroot%\system32\msn.exe   116736 字节
%Systemroot%为:C:\Winnt(2000、ME系统) C:\Windows(XP、2003)
C:\Documents and Settings\administrator\qndqoh.exe   5548 字节
C:\Documents and Settings\administrator\cfqxuk.exe   5548 字节
注意,文件名可能不固定,注意看文件大小。
还有administrator用户名不固定。。以你当前用户名为准。
 
3、设置冰刃,重启并监视。
 
4、重启后开SREng,删除:
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
     <printers><libcintles3.dll>   []
 
后打开注册表,查找libcintles3.dll ,有找到的删除,最好先备份下哈``
 
孤独的AD:
 
上述方法杀不掉的请联系Q526170722
(远程杀毒的就免了``,不能提供样本的也免了``)
 

你可能感兴趣的:(MSN蠕虫,album.scr,libcintles3.dll,msn.exe,images.zip)