欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

MSN傳播病毒Backdoor.Win32.IRCBot.acd清除方法

 更新時(shí)間:2007年08月03日 15:45:09   作者:  
病毒名稱:Backdoor.Win32.IRCBot.acd(Kaspersky)
  病毒大小:118,272 字節(jié)
  加殼方式:PE_Patch NTKrnl        
  樣本MD5:71b015411d27794c3e900707ef21e6e7
  樣本SHA1:934b80b2bfbb744933ad9de35bc2b588c852d08e
  發(fā)現(xiàn)時(shí)間:2007.7
  更新時(shí)間:2007.7
  傳播方式:通過(guò)MSN傳播


  技術(shù)分析


  病毒向MSN聯(lián)系人發(fā)送消息和偽裝成照片的帶毒壓縮包,對(duì)方聯(lián)系人接收并打開(kāi)壓縮包中的病毒文件時(shí)系統(tǒng)被感染。

  病毒發(fā)送給MSN聯(lián)系人的病毒壓縮包文件名不固定,發(fā)送的消息里有漢語(yǔ)拼音。

  病毒被運(yùn)行后在系統(tǒng)目錄%Windows%生成包含自身副本的ZIP壓縮文件,文件名不固定,由以下字符加隨機(jī)數(shù)字組成:


Code:
images
photos2007_
album
photo
photo_album
image0



例如:

  photos2007_79.zip (photos2007_79.scr)
  photo12.zip (photo12.scr)

  創(chuàng)建病毒副本:
  %System%\msn.exe

  釋放dll注入進(jìn)程:
  %System%\notice.dll

  創(chuàng)建ShellServiceObjectDelayLoad啟動(dòng)方式:


  
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"modems"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="notice.dll"

  注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}為一串CLSID,病毒產(chǎn)生的這段CLSID不固定,如:{8EA5A050-8F75-4443-9830-9949156E066F}


  病毒根據(jù)染毒系統(tǒng)的語(yǔ)言給MSN聯(lián)系人發(fā)送相應(yīng)的文字消息,同時(shí)發(fā)送帶毒ZIP壓縮包:



Quote:
Hey please look at me and my pet ..  :p
Looking for hot summer pictures  ? well here they are !! (h)
Look at me and my volleyball team, working our asses offff (h)
Hey please look at me and my pet .. :p
Psssssst .... just between me and you, please accept :$
This is me totaly naked :o please dont send to anyone else

bak sana  Paris Hilton ne hale gelmis hapiste :(
Sen ve Ben !!! .... BAK :p
Baksana benim fotograflara hihi :p
Hey benim fotolarimi kabul et :o !!
Iyi arkadasimla fotorafdayim :$ !!
benim bu ciplak fotoda :o ama baskasina yollama

Regarde les tof de mes vacances en tunisie loool
Toi et moi !!! .... regarde :p
hey stp regarde mes tof !
Hey s'il te plait accepte mes photos :o !!
Une tof de moi et ...:$ !!

Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :(
Jij en Ik !!!! .... kijk :p
Kijk eens naar mijn fotos hihi :p
HEY !! accepteer mn fotos dan !
met mijn beste vriend op de foto !! :$
Dit ben ik naakt op de foto, stuur alsjeblieft niet door.

guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist :(
du und ich !!! ....guck :p
siehe meine fotos hihi :p
hey bitte nimm meine fotos an :o !!
ein foto mit meinem besten freund und mir :$ !!
das bin ich total nackt :o bitte sende es niemand anderem

Guarda come Paris Hilton sprecato ? dopo che era imprijonata :(
Tu ed io !!! .... guarda :p
Guardi le mie foto hihi :p
Mairee photos accept karo :o !!
Una foto con me ed il mio amico migliore :$ !!
Questa e me totaly nudo :o prego non trasmette a chiunque

Veja como Paris Hilton est?acabada depois de ter sido presa :(
Voc?e eu !!!! .... Veja :p
Veja as minhas fotos hehehe :p
Por favor aceite as minhas fotos :o !!
Uma foto com o meu melhor amigo e eu :$ !!
Esta sou eu totalmente nua :o por favor n鉶 mande isso pra ningu閙

kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(
NI HE WO !!! .... QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN :o !!
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!

Kolla hur f鰎st鰎d Paris Hilton 鋜, efter att hon f鋘gslades :(
Du och jag !! .... Kolla ;)
Kolla p?min bilder, hihi :p
Hey, acceptera mina bilder, sn鋖la :o
En bild p?mig och min b鋝ta v鋘 :$ !!!
Detta 鋜 jag HELT naken.. :o Skicka inte till n錱on annan, sn鋖la...

Mira c髆o Paris Hilton es perdida despu閟 de ser encarcelada :(
Usted e yo !!! .... Mira :p
Mira mis fotos jejeje :p
Ha aceptado mis fotos por favor :o !!
Una foto con mi mejor amigo e yo :$ !!
Esta soy yo totalmente desnuda :o por favor no env韆 para nadie

Lede hvor spild Paris Hilton er efter hun fik f鎛gsel :(
Jer og Mig !!! ... se :p
Se p?min fotos :p
Hej behage optage min foto :o !!
EN foto hos mig og min bedst ven :$ !!
denne er mig hele bar behage vage vendlig og sende den ikk til nogle :o



嘗試連接遠(yuǎn)程IRC:john.free4people.net


  清除步驟
  ==========

  1. 刪除病毒的啟動(dòng)方式(開(kāi)始菜單-運(yùn)行-輸入“regedit”進(jìn)入注冊(cè)表依次找到說(shuō)明選項(xiàng)并按提示操作):


  
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"modems"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"


以及對(duì)應(yīng)的:


  
Code:
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="notice.dll"


  2. 重新啟動(dòng)計(jì)算機(jī)

  3. 刪除文件
  %System%\msn.exe
  %System%\notice.dll
  %userprofile%\new.txt
  %userprofile%\{6位隨機(jī)字母}.exe
  以及%Windows%目錄下文件名由以下字符和隨機(jī)數(shù)字組成,文件大小約116KB的病毒壓縮包文件:


  
Code:
images
  photos2007_
  album
  photo
  photo_album
  image0

  例如:


  photos2007_79.zip (photos2007_79.scr)
  photo12.zip (photo12.scr)

相關(guān)文章

最新評(píng)論