Happy2008.zip（又来...）

文件名称：Happy2008-Card.com\Svchost.exe

 

文件大小：26014 byte

 

AV命名：（瑞星）Backdoor.Win32.PBot.b

 

加壳方式：未知

 

编写语言：VC

 

文件MD5：66951f5a5c5211d60b811c018a849f96

 

病毒类型：IRCBot

 

行为分析：

 

1、释放病毒副本：

 

C:\WINDOWS\Happy2008.zip  26148 字节（病毒压缩包）

C:\WINDOWS\svchost.exe  26014 字节

 

2、添加注册表，开机启动：

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

(注册表值) Windows svchost = "svchost.exe"

 

3、连接IRC服务器（随机命名ID连接）：

 

irc.p***.com

[url]www.uNkn[/url]***.eu

iD@uNkn***.eu

 

加入以下频道：

 

#happy2008

#spam.msn

#bot.killer

 

4、查找包含“msnmsgr”字符串的进程，可能作为判断MSN是否在运行状态。

 

如发现MSN存在，则执行Message + Zip sent命令。

 

“Message”可能是下面的一条：

 

Check theese out, Christmas + New year!
Hey, have u seen these Christmas images?
you gotta see this, me in my noughty santa suit!! :P
New year + Christmas pictures! :D
Happy new year xD! :D see
Heeey :) <3 Check out theese New year photos!

 

“Zip sent”毫无疑问就是Happy2008.zip

 

解决方法：

 

1、断开网络，关闭不需要的进程。

 

2、打开注册表（开始－运行-Regedit)，展开到：

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除“Windows svchost ”键值。

 

（也可以用SREng删）

 

3、重启计算机，重启后删除硬盘文件：

 

C:\WINDOWS\Happy2008.zip  26148 字节（病毒压缩包）

C:\WINDOWS\svchost.exe  26014 字节

 

AD：如果上述方法无法清除或是有其他变种

 

请把压缩包发到 [email protected]