扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
技术分析
==========
这个MSN病毒变种在生成的文件和启动项形式上和以往不同,没有释放dll。病毒被运行后在系统目录生成包含自身副本的ZIP压缩文件:
%Windows%\images.zip
压缩包内文件名是IMG+数字,扩展名是.pif,比如IMG34814.pif。
同时创建一个副本:
%Windows%\winlog32.exe
创建启动项:
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSN"="winlog32.exe"
试图使用c:\a.bat批处理停止“安全中心”和“WinVNC”服务:
[Copy to clipboard] [ - ]CODE:
@echo off
net stop "Security Center"
net stop winvnc4
del c:\a.bat
向MSN联系人发送消息和伪装成照片的带毒压缩包%Windows%\images.zip:
QUOTE:
LOL, you look so ugly in this picture, no joke...
Should I put this on facebook/myspace?
Hey m8, who is this on the right, in this picture...
Sup, seen the pictures from the other night?
当对方联系人接收并打开压缩包中的病毒文件时系统受感染。
尝试连接远程IRC接收远程攻击者指令:down.basecore.info
Mutex:ahfabbg
清除步骤
==========
1. 删除病毒的启动项:
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSN"="winlog32.exe"
2. 重新启动计算机
3. 删除病毒文件:
%Windows%\images.zip
%Windows%\winlog32.exe
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者