警惕新MSN蠕虫(album.scr)Backdoor.Win32.IRCBot.acd 推荐
2007-07-30 18:56
387 查看
文件名称:album11.scr
文件大小:116736 byte
AV命名:Backdoor.Win32.IRCBot.acd(卡吧斯基)
加壳方式:Ntkrnl protector
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:后门(IRC)
文件MD5:EF5B233300CF8F9C3C9B0A861111EC8D
文件SHA1:33388AD6BFAB9BE01E4754AC482098E142BF395C
传播方式:MSN、网络。
行为分析:
1、释放病毒文件:
%Systemroot%\images3.zip 116856 字节 (病毒副本)
注意!可能文件名不一样。
%Systemroot%\system32\libcintles3.dll 26000 字节
%Systemroot%\system32\msn.exe 116736 字节
%Systemroot%为:C:\Winnt(2000、ME系统) C:\Windows(XP、2003)
2、libcintles3.dll 注入Explorer进程,检测MSN窗口,尝试发送病毒副本和一些诱人的语言(未实现)
(接收并运行病毒文件的MSN好友则成为新的传播体``)
3、连接远程IRC服务器(89.188.16.60)等待黑客命令(穿防火墙),从而沦落为肉机。
4、如检测到无MSN进程,则隔段时间以无判断的方式尝试激活:
C:\Program Files\MSN Messenger\msnmsgr.exe
5、连接IRC服务器下载文件:
C:\Documents and Settings\administrator\qndqoh.exe 5548 字节
C:\Documents and Settings\administrator\cfqxuk.exe 5548 字节
(文件名不固定)
不是可执行文件。通过抓包分析,应该是根据里面记录的一些网站进行攻击。
6、libcintles3.dll修改注册表:
HKEY_CLASSES_ROOT\CLSID\{8F8F79EA-CD94-411D-BB9A-BBC2E7E54CD5}\InProcServer32\
REG_SZ, "libcintles3.dll "
注意,{8F8F79EA-CD94-411D-BB9A-BBC2E7E54CD5}可能不一样。
实现开机注入进程。
还有个:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\printers
指向的是{8F8F79EA-CD94-411D-BB9A-BBC2E7E54CD5}
呵呵,比较隐蔽。以前的MSN蠕虫貌似没有添加这个。
解决方法:
推荐:去网上查找下MSN蠕虫专杀吧``比较省事`` =。=
手工清除:
http://free.ys168.com/?gudugengkekao下载:
http://ys-I.ys168.com/?冰刃.rar_73en1bis5bthsn0cr0c5btpnq5bs1b5bt5bs1bkiku14z97f14z" target=_blank>冰刃.rar 2,110KB
sreng2.5.zip 780KB
直接放桌面,断开网络。
1、打开冰刃,禁止线程创建,确定。
2、使用冰刃“文件”功能,删除:
%Systemroot%\images3.zip 116856 字节 (病毒副本)
(注意变通,文件名不固定的)
%Systemroot%\system32\libcintles3.dll 26000 字节
%Systemroot%\system32\msn.exe 116736 字节
%Systemroot%为:C:\Winnt(2000、ME系统) C:\Windows(XP、2003)
C:\Documents and Settings\administrator\qndqoh.exe 5548 字节
C:\Documents and Settings\administrator\cfqxuk.exe 5548 字节
注意,文件名可能不固定,注意看文件大小。
还有administrator用户名不固定。。以你当前用户名为准。
3、设置冰刃,重启并监视。
4、重启后开SREng,删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
<printers><libcintles3.dll> []
后打开注册表,查找libcintles3.dll ,有找到的删除,最好先备份下哈``
孤独的AD:
上述方法杀不掉的请联系Q526170722
(远程杀毒的就免了``
,不能提供样本的也免了``)
文件大小:116736 byte
AV命名:Backdoor.Win32.IRCBot.acd(卡吧斯基)
加壳方式:Ntkrnl protector
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:后门(IRC)
文件MD5:EF5B233300CF8F9C3C9B0A861111EC8D
文件SHA1:33388AD6BFAB9BE01E4754AC482098E142BF395C
传播方式:MSN、网络。
行为分析:
1、释放病毒文件:
%Systemroot%\images3.zip 116856 字节 (病毒副本)
注意!可能文件名不一样。
%Systemroot%\system32\libcintles3.dll 26000 字节
%Systemroot%\system32\msn.exe 116736 字节
%Systemroot%为:C:\Winnt(2000、ME系统) C:\Windows(XP、2003)
2、libcintles3.dll 注入Explorer进程,检测MSN窗口,尝试发送病毒副本和一些诱人的语言(未实现)
(接收并运行病毒文件的MSN好友则成为新的传播体``)
3、连接远程IRC服务器(89.188.16.60)等待黑客命令(穿防火墙),从而沦落为肉机。
4、如检测到无MSN进程,则隔段时间以无判断的方式尝试激活:
C:\Program Files\MSN Messenger\msnmsgr.exe
5、连接IRC服务器下载文件:
C:\Documents and Settings\administrator\qndqoh.exe 5548 字节
C:\Documents and Settings\administrator\cfqxuk.exe 5548 字节
(文件名不固定)
不是可执行文件。通过抓包分析,应该是根据里面记录的一些网站进行攻击。
6、libcintles3.dll修改注册表:
HKEY_CLASSES_ROOT\CLSID\{8F8F79EA-CD94-411D-BB9A-BBC2E7E54CD5}\InProcServer32\
REG_SZ, "libcintles3.dll "
注意,{8F8F79EA-CD94-411D-BB9A-BBC2E7E54CD5}可能不一样。
实现开机注入进程。
还有个:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\printers
指向的是{8F8F79EA-CD94-411D-BB9A-BBC2E7E54CD5}
呵呵,比较隐蔽。以前的MSN蠕虫貌似没有添加这个。
解决方法:
推荐:去网上查找下MSN蠕虫专杀吧``比较省事`` =。=
手工清除:
http://free.ys168.com/?gudugengkekao下载:
http://ys-I.ys168.com/?冰刃.rar_73en1bis5bthsn0cr0c5btpnq5bs1b5bt5bs1bkiku14z97f14z" target=_blank>冰刃.rar 2,110KB
sreng2.5.zip 780KB
直接放桌面,断开网络。
1、打开冰刃,禁止线程创建,确定。
2、使用冰刃“文件”功能,删除:
%Systemroot%\images3.zip 116856 字节 (病毒副本)
(注意变通,文件名不固定的)
%Systemroot%\system32\libcintles3.dll 26000 字节
%Systemroot%\system32\msn.exe 116736 字节
%Systemroot%为:C:\Winnt(2000、ME系统) C:\Windows(XP、2003)
C:\Documents and Settings\administrator\qndqoh.exe 5548 字节
C:\Documents and Settings\administrator\cfqxuk.exe 5548 字节
注意,文件名可能不固定,注意看文件大小。
还有administrator用户名不固定。。以你当前用户名为准。
3、设置冰刃,重启并监视。
4、重启后开SREng,删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
<printers><libcintles3.dll> []
后打开注册表,查找libcintles3.dll ,有找到的删除,最好先备份下哈``
孤独的AD:
上述方法杀不掉的请联系Q526170722
(远程杀毒的就免了``
,不能提供样本的也免了``)
相关文章推荐
- 警惕MSN变种蠕虫 推荐
- 【警惕!!!】MSN蠕虫 推荐
- [警惕]MSN蠕虫卷土重来`` 推荐
- MSN蠕虫 推荐
- 据说最近借圣诞照片传播的MSN蠕虫.. 推荐
- 6月第4周安全回顾 Firefox3存在严重漏洞 警惕Storm蠕虫 推荐
- 【转贴】关于最新爆发的MSN蠕虫 photo album.zip rdshost.dll Backdoor.Win32.IRCBot.aaq
- 导入msn和邮箱联系人列表——向大家推荐contact-list-java调用
- 从MSN中断五国服务谈国家安全 推荐
- 警惕企业管理中的“稻草人”现象 推荐
- 教你在自己的博客首页生成MSN聊天按钮 推荐
- 警惕‘浩’字病毒` 推荐
- 局域网用户QQ、MSN频繁掉线需警惕
- MSN蠕虫新变种
- Backdoor.Wrom.IRCBot.*(MSN蠕虫)
- Microsoft Exchange 2007 SP1 SCR Demo 推荐
- 读【为了前程让我们戒掉QQ,MSN,SNS吧】有感 推荐
- [警惕]小红猫(setup.exe) 推荐
- MSN的盗梦空间——写在MSN SPACES谢幕之后 推荐
- 解决蠕虫问题的武器,你用的是哪般? 推荐