MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决
2007-12-25 21:44
429 查看
文件名称:devic.exe
文件大小:23304 bytes
AV命名:(virustotal上仅卡吧一家报)Backdoor.Win32.SdBot.cok
加壳方式:未知
编写语言:VC
病毒类型:IRCbot
文件MD5:45de608d74ee4fb86b20da86dcbeb55c
行为分析:
1、释放病毒副本:
C:\WINDOWS\devic.exe , 23304 字节
C:\WINDOWS\img5-2007.zip , 23456 字节
2、添加注册表,开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(注册表值) SystemDevic = "devic.exe"
3、每隔5秒试探网络并连接韩国IRC服务器:irc.pNet.com,以随机命名和空密码用户登入。
4、可能会接受以下命令:
pB.Main ->
pB.irc ->
pB.Thread ->
pB.wget ->
pB.update ->
pB.Spam-MSN ->
pB.Botkiller ->
pB.pStore ->
pB.Visit ->
pB.DDos ->
5、往MSN好友发送病毒压缩包和以下随机一条:
Qu?usted piensa de este cuadro?
Consegu?a nuevo cuadro de m?la toma una mirada
algunos cuadros de la semana pasada, consideran si usted tiene gusto en ellos.
tiene usted visto este picure todav
Haha, es que usted?
Debo utilizar este cuadro en msn?
Qu?usted piensa en esto?
Was denken Sie an diese?
was denken Sie an dieses picure? ich glaube, da?ich h
lich schaue :/
sind hier eine neue Abbildung von mir
einige Abbildungen von der letzten Woche, sehen, wenn Sie sie m
Haha, diese sind Sie auf dieser Abbildung?
sollte ich diese Abbildung auf msn benutzen?
Was denken Sie an dieses?
Wat denkt u aan dit picure? ik vind ik lelijk kijk
Een paar beelden van vorige week, zien of houdt u hier van em nieuwe pic van me. :)
Hebt u dit picure nog gezien?:p
Hebt u dit picure nog gezien? :p
Haha, bent u dat op dat beeld? :)
Zou ik dit beeld op msn moeten gebruiken?
Wat denkt u over dit?
que pensez-vous ?ce picure ? je me sens que je semble laid :/
Voici un nouveau pic de moi
Quelques images de la semaine derni
e, voient si vous les aimez
Avez-vous vu ce picure encore ?
Haha, est-vous ce sur cette image ?
Si j'emploient cette image sur le msn ?
Que pensez-vous ?mon image ?
:(:(:(:(
Here's a new pic of me
A few pictures from last week, see if you like em
:D:D:D::D
Have you seen this picure yet?
Haha, is that you on that picture?
Should i use this picture on msn?
What do you think about this?
另外那个img5-2007.zip,里面的病毒可能命名为:
www.photo5-2007-12.JPEG.com
img3-2007-12.JPEG.com
img2-2007-12.JPEG_www.images.com
img-2007-12.JPEG.scr
都是可执行程序,呵呵。
解决方法:
1、开始-运行-regedit。
2、展开到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除这个项:SystemDevic。
3、重启电脑。
4、删除硬盘文件:
C:\WINDOWS\devic.exe
C:\WINDOWS\img5-2007.zip
另外有其他MSN蠕虫变种,上述方法无法清除的
文件大小:23304 bytes
AV命名:(virustotal上仅卡吧一家报)Backdoor.Win32.SdBot.cok
加壳方式:未知
编写语言:VC
病毒类型:IRCbot
文件MD5:45de608d74ee4fb86b20da86dcbeb55c
行为分析:
1、释放病毒副本:
C:\WINDOWS\devic.exe , 23304 字节
C:\WINDOWS\img5-2007.zip , 23456 字节
2、添加注册表,开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(注册表值) SystemDevic = "devic.exe"
3、每隔5秒试探网络并连接韩国IRC服务器:irc.pNet.com,以随机命名和空密码用户登入。
4、可能会接受以下命令:
pB.Main ->
pB.irc ->
pB.Thread ->
pB.wget ->
pB.update ->
pB.Spam-MSN ->
pB.Botkiller ->
pB.pStore ->
pB.Visit ->
pB.DDos ->
5、往MSN好友发送病毒压缩包和以下随机一条:
Qu?usted piensa de este cuadro?
Consegu?a nuevo cuadro de m?la toma una mirada
algunos cuadros de la semana pasada, consideran si usted tiene gusto en ellos.
tiene usted visto este picure todav
Haha, es que usted?
Debo utilizar este cuadro en msn?
Qu?usted piensa en esto?
Was denken Sie an diese?
was denken Sie an dieses picure? ich glaube, da?ich h
lich schaue :/
sind hier eine neue Abbildung von mir
einige Abbildungen von der letzten Woche, sehen, wenn Sie sie m
Haha, diese sind Sie auf dieser Abbildung?
sollte ich diese Abbildung auf msn benutzen?
Was denken Sie an dieses?
Wat denkt u aan dit picure? ik vind ik lelijk kijk
Een paar beelden van vorige week, zien of houdt u hier van em nieuwe pic van me. :)
Hebt u dit picure nog gezien?:p
Hebt u dit picure nog gezien? :p
Haha, bent u dat op dat beeld? :)
Zou ik dit beeld op msn moeten gebruiken?
Wat denkt u over dit?
que pensez-vous ?ce picure ? je me sens que je semble laid :/
Voici un nouveau pic de moi
Quelques images de la semaine derni
e, voient si vous les aimez
Avez-vous vu ce picure encore ?
Haha, est-vous ce sur cette image ?
Si j'emploient cette image sur le msn ?
Que pensez-vous ?mon image ?
:(:(:(:(
Here's a new pic of me
A few pictures from last week, see if you like em
:D:D:D::D
Have you seen this picure yet?
Haha, is that you on that picture?
Should i use this picture on msn?
What do you think about this?
另外那个img5-2007.zip,里面的病毒可能命名为:
www.photo5-2007-12.JPEG.com
img3-2007-12.JPEG.com
img2-2007-12.JPEG_www.images.com
img-2007-12.JPEG.scr
都是可执行程序,呵呵。
解决方法:
1、开始-运行-regedit。
2、展开到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除这个项:SystemDevic。
3、重启电脑。
4、删除硬盘文件:
C:\WINDOWS\devic.exe
C:\WINDOWS\img5-2007.zip
另外有其他MSN蠕虫变种,上述方法无法清除的
您可能感兴趣的文章:
- python使用win32com在百度空间插入html元素示例
- win32使用openfilename浏览文件窗口示例
- python字符串加密解密的三种方法分享(base64 win32com)
- 如何使一个HTA位于屏幕中心(Win32_DesktopMonitor)
- c#用Treeview实现FolderBrowerDialog 和动态获取系统图标(运用了Win32 dll类库)
- WMI中的Win32_PingStatus类(ping命令实现)
- nginx win32 版本静态文件测试 (Windows环境)
- win32安装配置非安装版的MySQL
- iis Win32状态数值(sc-win32-status)说明
- PSW.Win32.Magania.ffw(F3C74E3FA248.exe)病毒的清除
- Worm.Win32.AutoRun.bqn病毒分析解决
- inst.exe,Setup.exe木马Trojan-PSW.Win32.Magania.cjy解决方法
- Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀
- 木马程序Trojan-Spy.Win32.Agent.cfu清除方法
- 木马下载器Win32.TrojDownloader.Delf.114688
- recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法
- Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法
- win32 api实现简单的消息窗口示例
相关文章推荐
- 中了多少秒病毒关机重启原理分析附解决办法
- C:/WINDOWS/system32/x 病毒分析和解决建议
- Backdoor.Win32.Rbot.dvd 病毒分析
- 59秒关机病毒重启原理分析附解决办法
- txplatform.exe分析及病毒解决
- test.exe,vista.exe,a.jpg,Flower.dll病毒分析解决
- Worm.Win32.AutoRun.bqn病毒分析解决
- C:/WINDOWS/system32/x 病毒分析和解决建议
- 病毒、木马ARP攻击行为的原理分析及解决思路
- infostealer.gampass病毒分析手动解决
- “禽兽”病毒(杀软终结者)的分析和手动解决方法图文第1/2页
- (SVSH0ST.EXE)病毒的分析解决(来自网络)
- u盘自动运行病毒分析与解决方法
- 病毒、木马ARP攻击行为的原理分析及解决思路(1)
- 用WinDbg分析解决Internet Explorer崩溃一例(图文详解)
- ListView滑动过程中图片显示重复错位闪烁的问题分析和解决
- SVN多用户同时修改一个文件冲突过程分析及解决方法(非用锁方法)
- [原创]分析解决lvs fullnat模式下后端服务器获取真实IP地址异常问题
- Java 编程技术中汉字问题的分析及解决
- 【收藏】不再担心 电脑自动重启故障的分析解决