病毒别名:Win32.Hack.IRCBot.360448 [exe](毒霸)
病毒大小:115,712 字节
加壳方式:PE_Patch NTKrnl
样本MD5:0b5f8795412ba235a68d0d7aa8f17407
样本SHA1:976116afcf27514afbb9e022639ff8fa0717c8e3
传播方式:通过MSN传播
技术分析
==========
变种:
变种太多,请到电脑软硬件应用网首页搜索框搜索:MSN传播即可。
MSN蠕虫变种,病毒发作时向MSN联系人发送欺骗文字消息和带毒压缩包,对方联系人接受并打开带毒压缩包中的病毒文件时系统将受到感染。
病毒运行后复制自身到系统目录:
%System%\msnfix.exe
释放dll注入进程:
%System%\libweb.dll
创建ShellServiceObjectDelayLoad启动方式:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Version1"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="libweb.dll"
"Version1"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="libweb.dll"
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串{CLSID},病毒产生的{CLSID}不固定,如:{731A026D-383E-4C8C-A51F-367F830BB820}。
在%Windows%目录下生成包含自身副本的ZIP压缩包,文件名不固定,由以下字符和随机数字组合而成:
| love DSC03435 IMG84387 beachpicture Photo secretimages 比如: love3.zip (包含love3.scr) Photo91.zip (包含Photo91.scr) beachpicture54.zip (包含beachpicture54.scr) secretimages23.zip (包含secretimages23.scr) DSC0343555.zip (包含DSC0343555.scr) IMG8438789.zip (包含IMG8438789.scr) |
根据染毒系统语言,病毒向MSN联系人发送以下文字和上述病毒压缩包:
| hihi look at my horny pictures :$ hi howdy ? accept it !! (H) look at my great summer pictures (B)(D) i love u thats why i send this !!! :o oh my god look at this picture :o wowwww this is me drinking some juice !! Yeni fotograflarima Bakarmisin :) Bu Resmi PhotoShopla Yaptim Mutlaka G鰎melisin En Sevdigim Fotorafim Bu :p Fotografimi kabul etde g鰎 :) Daha 㱮mdi 鏴ktim bu fotolari taptaze :) Al bak fotoma kimseye yoLLama ama :) hey regarde mes nouvelles tofs :P salut! accept mes tofs! (H) Tas pas vu mes tof d閠??? (B)(D) hey je viens de trouv?tes tof sur net :S oh mon dieux regarde ca!! c moi entrain du boire jus!! hihi kijk eens naar mijn geile fotos :$ ey alles goed ? accepteer het !! (H) kijk eens naar mijn zomer fotos (B)(D) ik hou van je, daarom stuur ik je dit !!! :o oh my god kijk eens naar die foto :o wowwww guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist :( du und ich !!! ....guck :p siehe meine fotos hihi :p hey bitte nimm meine fotos an :o !! ein foto mit meinem besten freund und mir :$ !! Guarda come Paris Hilton sprecato ? dopo che era imprijonata :( Tu ed io !!! .... guarda :p Guardi le mie foto hihi :p Mairee photos accept karo :o !! Una foto con me ed il mio amico migliore :$ !! Questa e me totaly nudo :o prego non trasmette a chiunque Veja como Paris Hilton est?acabada depois de ter sido presa :( Voc?e eu !!!! .... Veja :p Veja as minhas fotos hehehe :p Por favor aceite as minhas fotos :o !! Uma foto com o meu melhor amigo e eu :$ !! Esta sou eu totalmente nua :o por favor n鉶 mande isso pra ningu閙 kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :( NI HE WO !!! .... QING KAN :p KAN WO DE ZHAOPIAN :p JIESHOU WO DE ZHAO PIAN :o !! YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !! Kolla hur f鰎st鰎d Paris Hilton 鋜, efter att hon f鋘gslades :( Du och jag !! .... Kolla ;) Kolla p?min bilder, hihi :p Hey, acceptera mina bilder, sn鋖la :o En bild p?mig och min b鋝ta v鋘 :$ !!! Detta 鋜 jag HELT naken.. :o Skicka inte till n錱on annan, sn鋖la... Mira c髆o Paris Hilton es perdida despu閟 de ser encarcelada :( Usted e yo !!! .... Mira :p Mira mis fotos jejeje :p Ha aceptado mis fotos por favor :o !! Una foto con mi mejor amigo e yo :$ !! Esta soy yo totalmente desnuda :o por favor no env韆 para nadie Lede hvor spild Paris Hilton er efter hun fik f鎛gsel :( Jer og Mig !!! ... se :p Se p?min fotos :p Hej behage optage min foto :o !! EN foto hos mig og min bedst ven :$ !! denne er mig hele bar behage vage vendlig og sende den ikk til nogle :o |
尝试连接远程IRC:www.onlinesciencexxx.com
清除步骤
==========
下载冰刃
1. 删除病毒创建的ShellServiceObjectDelayLoad启动方式(打开冰刃-注册表-依次找到病毒注册表选项删除即可):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Version1"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="libweb.dll"
"Version1"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="libweb.dll"
2. 重新启动计算机
3. 删除病毒文件(打开冰刃-文件-依次找到病毒文件删除即可):
%System%\msnfix.exe
%System%\libweb.dll
4. 删除%Windows%目录下病毒ZIP压缩包,如:
love3.zip (包含love3.scr)
Photo91.zip (包含Photo91.scr)
beachpicture54.zip (包含beachpicture54.scr)
secretimages23.zip (包含secretimages23.scr)
DSC0343555.zip (包含DSC0343555.scr)
IMG8438789.zip (包含IMG8438789.scr)
5. 删除可能存在的文件:
%userprofile%\auto.txt