文件名稱：Happy2008-Card.com\Svchost.exe

文件大小：26014 byte

AV命名：（瑞星）Backdoor.Win32.PBot.b

加殼方式：未知

編寫語(yǔ)言：VC

文件MD5：66951f5a5c5211d60b811c018a849f96

病毒類型：IRCBot

行為分析：

1、釋放病毒副本：

C:\WINDOWS\Happy2008.zip 26148 字節(jié)（病毒壓縮包）

C:\WINDOWS\svchost.exe 26014 字節(jié)

2、添加注冊(cè)表，開機(jī)啟動(dòng)：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


(注冊(cè)表值) Windows svchost = "svchost.exe"

3、連接IRC服務(wù)器（隨機(jī)命名ID連接）：

irc.p***.com

www.uNkn***.eu

iD@uNkn***.eu

加入以下頻道：

#happy2008

#spam.msn

#bot.killer

4、查找包含“msnmsgr”字符串的進(jìn)程，可能作為判斷MSN是否在運(yùn)行狀態(tài)。

如發(fā)現(xiàn)MSN存在，則執(zhí)行Message + Zip sent命令。

“Message”可能是下面的一條：

Check theese out, Christmas + New year!
Hey, have u seen these Christmas images?
you gotta see this, me in my noughty santa suit!! :P
New year + Christmas pictures! :D
Happy new year xD! :D see
Heeey :) <3 Check out theese New year photos!

“Zip sent”毫無(wú)疑問(wèn)就是Happy2008.zip

解決方法：

1、斷開網(wǎng)絡(luò)，關(guān)閉不需要的進(jìn)程。

2、打開注冊(cè)表（開始－運(yùn)行-Regedit)，展開到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

刪除“Windows svchost ”鍵值。

（也可以用SREng刪（可到down.45it.com下載））

3、重啟計(jì)算機(jī)，重啟后刪除硬盤文件（如遇提示無(wú)法刪除文件，到down.45it.com下載費(fèi)爾木馬強(qiáng)制刪除器工具進(jìn)行強(qiáng)制刪除）：

C:\WINDOWS\Happy2008.zip 26148 字節(jié)（病毒壓縮包）

C:\WINDOWS\svchost.exe 26014 字節(jié)

最新評(píng)論