最新消息:xilo的博客2016重新上线,感谢新老朋友的热情关注。

关于MSN自动发送信息与photo album.zip

工具 xilo 727浏览 0评论

今天一上班,同事就抱怨MSN自动发送消息,还不能禁止。起初不太相信,MSN安全性很高啊(当然,相对于QQ来说)可后来转念一想,当今互联网什么出现不了。上去一看,果不其然,MSN尾巴,开始自以为是MSN“性感鸡”,随手下了个专杀,可怎么也查不出来。这回可郁闷了。

上网搜了半天,终于找到了相关信息和破解方法。在此贴出来。仅供大家参考。

photo album2007.pif Backdoor.Win32.IRCBot.aaq分析报告与清除方案
                      Backdoor.Win32.IRCBot.aaq分析
安天CERT
一、 病毒标签:
病毒名称: Backdoor.Win32.IRCBot.aaq
病毒类型: 后门
文件 MD5: 383FA8F31BC56113DBB9F5B7527A6D0D
公开范围: 完全公开
危害等级: 5
文件长度: 18,944 字节
感染系统: windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX 0.89.6 – 1.02 / 1.05 – 1.24

二、 病毒描述:
该病毒为后门类,病毒运行后衍生病毒文件到系统目录下,关闭当前任务管理器中一切可以关切的进程,把衍生的DLL文件插入到系统正常进程Explorer.exe中,并通过rdshost.dll连接指定的IRC信道,并接受控制者远程控制。修改注册表,添加启动项,以达到随机启动的目的。该病毒通过MSN传播,会检查用户是否开启MSN,如果开启则自动向用户MSN中的好友自动发送消息,并把病毒衍生的文件photo album.zip做为附件发送。

三、 行为分析:
1、病毒运行后衍生病毒文件到系统目录下:
%WINDIR%\photo album.zip
%system32%\rdshost.dll

2、关闭当前任务管理器中一切可以关闭的进程。

3、把病毒衍生的文件rdshost.dll插入到系统正常进程Explorer.exe中,并通过rdshost.dll连接指定的IRC信道,并接受控制者远程控制。

4、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
键值:字串:”rdshost “= “{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}”
HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32
键值:字串:”@”=”rdshost.dll”
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为可变字串。

5、该病毒通过MSN传播,会检查用户是否开启MSN,如果开启则自动向用户MSN中的好友自动发送消息,并把病毒衍生的文件photo album.zip做为附件发送:
自动向MSN好友发送消息:
QUOTE:
HEY lol i’ve done a new photo album !:) Second ill find file and send you it.Hey wanna see my new photo album?Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol…
Hey just finished new photo album! 🙂 might be a few nudes 😉 lol…
hey you got a photo album? anyways heres my new photo album 🙂 accept k?hey man accept my new photo album.. 🙁 made it for yah, been doing picture story of my life lol..

并把病毒衍生的文件photo album.zip做为附件发送。

6、控制者利用IRC通信信道远程控制中毒计算机:

连接的IRC信道:darkjester.xplosionirc.net
IP地址:89.159.185.142

标准IRC控制命令:
NICK [%s][%iH]%s\n
lol lol lol :shadowbot
USER %s\n
#test
JOIN %s\n
%s
PING :
PING :
PING :
PONG :%s\n
404JOIN %s\n
#test
JOIN %s\n
KICK
#test
JOIN %s\n
PRIVMSGNOTICE
NOTICE

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
         (1) 使用安天木马防线“进程管理”关闭病毒进程
         (2) 删除病毒文件
%WINDIR%\photo album.zip
%system32%\rdshost.dll

         (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
    删除注册表中所有的rdshost.dll键值。

懒人一族![安天木马防线]

木马防线 2005版序列号:X6E4QW-FBXR84-U9YRHL-D4DFHG
木马防线 2005+版序列号:HXAA7WF-F43CAPE-RYNCWXP-ERWA3HR
可以无限制免费升级

转载请注明:xilo blog » 关于MSN自动发送信息与photo album.zip

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址