警惕新MSN蠕虫（album.scr）Backdoor.Win32.IRCBot.acd

文件名称：album11.scr

文件大小：116736 byte

AV命名：Backdoor.Win32.IRCBot.acd(卡吧斯基)

加壳方式：Ntkrnl protector

编写语言：Borland Delphi 6.0 - 7.0

病毒类型：后门(IRC)

文件MD5：EF5B233300CF8F9C3C9B0A861111EC8D

文件SHA1：33388AD6BFAB9BE01E4754AC482098E142BF395C

传播方式：MSN、网络。

 

行为分析：

 

1、释放病毒文件：

 

%Systemroot%\images3.zip   116856 字节 （病毒副本）

注意！可能文件名不一样。

%Systemroot%\system32\libcintles3.dll   26000 字节

%Systemroot%\system32\msn.exe   116736 字节

%Systemroot%为：C:\Winnt（2000、ME系统） C:\Windows（XP、2003）

 

2、libcintles3.dll 注入Explorer进程，检测MSN窗口，尝试发送病毒副本和一些诱人的语言（未实现）

 

（接收并运行病毒文件的MSN好友则成为新的传播体``）

 

3、连接远程IRC服务器（89.188.16.60）等待黑客命令（穿防火墙），从而沦落为肉机。

 

4、如检测到无MSN进程，则隔段时间以无判断的方式尝试激活：

 

C:\Program Files\MSN Messenger\msnmsgr.exe

5、连接IRC服务器下载文件：

 

C:\Documents and Settings\administrator\qndqoh.exe   5548 字节

C:\Documents and Settings\administrator\cfqxuk.exe   5548 字节

（文件名不固定）

不是可执行文件。通过抓包分析，应该是根据里面记录的一些网站进行攻击。

 

6、libcintles3.dll修改注册表：

 

HKEY_CLASSES_ROOT\CLSID\{8F8F79EA-CD94-411D-BB9A-BBC2E7E54CD5}\InProcServer32\
REG_SZ, "libcintles3.dll "

注意，{8F8F79EA-CD94-411D-BB9A-BBC2E7E54CD5}可能不一样。

 

实现开机注入进程。

 

还有个：

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\printers

 

指向的是{8F8F79EA-CD94-411D-BB9A-BBC2E7E54CD5}

 

呵呵，比较隐蔽。以前的MSN蠕虫貌似没有添加这个。

 

解决方法：

 

推荐：去网上查找下MSN蠕虫专杀吧``比较省事`` =。=

 

手工清除：

 

[url]http://free.ys168.com/?gudugengkekao[/url]下载：

 

冰刃.rar 2,110KB

 

sreng2.5.zip 780KB

 

直接放桌面，断开网络。

 

 

1、打开冰刃，禁止线程创建，确定。

 

2、使用冰刃“文件”功能，删除：

 

%Systemroot%\images3.zip   116856 字节 （病毒副本）

（注意变通，文件名不固定的）

%Systemroot%\system32\libcintles3.dll   26000 字节

%Systemroot%\system32\msn.exe   116736 字节

%Systemroot%为：C:\Winnt（2000、ME系统） C:\Windows（XP、2003）

C:\Documents and Settings\administrator\qndqoh.exe   5548 字节

C:\Documents and Settings\administrator\cfqxuk.exe   5548 字节

注意，文件名可能不固定，注意看文件大小。

还有administrator用户名不固定。。以你当前用户名为准。

 

3、设置冰刃，重启并监视。

 

4、重启后开SREng，删除：

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

     <printers><libcintles3.dll>   []

 

后打开注册表，查找libcintles3.dll ，有找到的删除，最好先备份下哈``

 

孤独的AD：

 

上述方法杀不掉的请联系Q526170722

（远程杀毒的就免了``，不能提供样本的也免了``）