扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
最近又开始泛滥了```还是一贯的老作风```源MSN传播```
孤独提示广大MSN用户提高警惕,不要轻易接收好友发送所谓的“nice photo”`````
Aditional Information
File size: 52736 bytes
CRC32 : F6529412
MD5: ee3ed79ffb63344b6e50458b68a7814a
SHA1: 15b1e629ef96ff8cba3fee127b8abc8a88b3f9df
SHA160 : 15B1E629EF96FF8CBA3FEE127B8ABC8A88B3F9DF
RIPEMD160: AB57951647EC61008434A67067A81C5BB700B6E2
Tiger_192: 56017F6A9C6D83CEC87AC89149056E9C41161FE9422CB553
Packers: Not
Languages:Borland Delphi 6.0 - 7.0
如果用户接收,并运行Myalbum2007.zip压缩包里的photo album-2007.scr的话,则释放:
%systemroot%\system32\sysprinters.dll 24040 字节
栲贝myalbum2007.zip至%Windir%下``` 52874 字节
感染的用户成为新的传播体``````
sysprinters.dll 首先插入Explorer.exe进程,后枚举skymsn.exe、msn.exe,有则注入`
在MSN对话中,后跟例如下列对话:
.data:100060C8 0000002A C Here are my very secret pictures for you.
.data:100060F4 00000026 C Here are my pictures from my vacation
.data:1000611C 0000001F C hmm is this you on the photo ?
.data:1000613C 00000025 C Check out my pics from my workplace.
.data:10006164 00000032 C Nice new photos of me and my friends and stuff...
.data:10006198 00000048 C ahh look this is my greatest picture made on vacation 2007, take
a look
.data:100061E0 00000022 C Check out my nice photo album. :D
.data:10006204 0000002F C hey regarde les tof de notre bande de fous. :p
.data:10006234 00000020 C hey c''est toi dans ces tof!!???
.data:10006254 00000040 C hey regarde les tof, c''est moi et mes copains entrain de.... :D
.data:10006294 0000003B C j''ai fais pour toi cet album de photos tu dois le voire :p
.data:100062D0 00000051 C stp regarde cet album de photos je lai fais specialement pour
toi et mes amis...
.data:10006324 00000016 C mes photos chaudes :D
.data:1000633C 0000001E C t''as pas encore vu ces tof???
.data:1000635C 0000002A C hey kijk eens naar mijn nieuwe foto album
.data:10006388 00000027 C hey bekijk eens mijn nieuwe foto album
.data:100063B0 0000001D C hmm ben jij dit op de foto ?
.data:100063D0 00000037 C hey kijk ! dit is een lijst van mijn nieuwste fotos !!
.data:10006408 00000045 C ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze
eens :p
.data:10006450 0000002A C kijk dit zijn fotos van mij werkplek! :)
.data:1000647C 0000001D C hmm ben jij dit op de foto ?
.data:10006544 00000015 C le mie foto calde :p
(乱乱的懒得整理了````)
和那个myalbum2007.zip压缩包,诱使MSN好友接收运行```
(测试时并未实现,因为我没开MSN,密码忘记了`````好像包含了多国的语言?)
随后连接远程IRC服务器(89.188.16.60),开启并监听20480端口``接受远程控制命令``
这点比较恶劣,可能导致感染机器成为肉鸡,如果感染范围理想的话,会造成一个僵尸网络``
最后还连接www.*****people.net以校验MD5的方式下载其他后门````
例如“WTemp_01.exe”、“STemp_01.exe”……
这个也未验证````可能不准确````
解决方法:
http://gudugengkekao.ys168.com/下载:
SREng.rar
PowerRmv.com
(也可以自己网上搜索下载)
后断开网络,关闭一些不不要的进程`````
1、打开PowerRmv,选上"抑制杀灭对象再次生成"填入下面内容后点杀灭(一次一个):
C:\Windows\system32\sysprinters.dll
C:\Windows\myalbum2007.zip
(也可以用冰刃等工具删除)
2、打开SREng删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
<system32><sysprinters.dll> []
3、打开注册表,查找sysprinters.dll,有找到的全部删除``(最好先备份下)
4、重启电脑,升级杀软最高版本,全盘扫``````另建议修改QQ\Mail等所有密码````
一些PP:
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。