文件名稱：Happy2008-Card.com\Svchost.exe

文件大?。?6014 byte

AV命名：（瑞星）Backdoor.Win32.PBot.b

加殼方式：未知

編寫語言：VC

文件MD5：66951f5a5c5211d60b811c018a849f96

病毒類型：IRCBot

行為分析：

1、釋放病毒副本：

C:\WINDOWS\Happy2008.zip 26148 字節(jié)（病毒壓縮包）

C:\WINDOWS\svchost.exe 26014 字節(jié)

2、添加注冊表，開機啟動：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


(注冊表值) Windows svchost = "svchost.exe"

3、連接IRC服務(wù)器（隨機命名ID連接）：

irc.p***.com

www.uNkn***.eu

iD@uNkn***.eu

加入以下頻道：

#happy2008

#spam.msn

#bot.killer

4、查找包含“msnmsgr”字符串的進程，可能作為判斷MSN是否在運行狀態(tài)。

如發(fā)現(xiàn)MSN存在，則執(zhí)行Message + Zip sent命令。

“Message”可能是下面的一條：

Check theese out, Christmas + New year!
Hey, have u seen these Christmas images?
you gotta see this, me in my noughty santa suit!! :P
New year + Christmas pictures! :D
Happy new year xD! :D see
Heeey :) <3 Check out theese New year photos!

“Zip sent”毫無疑問就是Happy2008.zip

解決方法：

1、斷開網(wǎng)絡(luò)，關(guān)閉不需要的進程。

2、打開注冊表（開始－運行-Regedit)，展開到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

刪除“Windows svchost ”鍵值。

（也可以用SREng刪（可到down.45it.com下載））

3、重啟計算機，重啟后刪除硬盤文件（如遇提示無法刪除文件，到down.45it.com下載費爾木馬強制刪除器工具進行強制刪除）：

C:\WINDOWS\Happy2008.zip 26148 字節(jié)（病毒壓縮包）

C:\WINDOWS\svchost.exe 26014 字節(jié)

最新評論