科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道通过MSN传播的IRCBot images.zip winlog32.exe 解决方案

通过MSN传播的IRCBot images.zip winlog32.exe 解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这个MSN病毒变种在生成的文件和启动项形式上和以往不同,没有释放dll。病毒被运行后在系统目录生成包含自身副本的ZIP压缩文件:%Windows%\images.zip。

作者:zdnet安全频道 来源:论坛整理 2008年6月20日

关键字: 病毒 msn

  • 评论
  • 分享微博
  • 分享邮件
病毒名称:IM-Worm.Win32.Agent.f(Kaspersky)
            病毒别名:Backdoor.Win32.Jusi.ab(瑞星)
            病毒大小:40,960 字节
            加壳方式:
            样本MD5:fc5415dc9054ee0934e3ff3e587de444
            样本SHA1:c48246a83290fa05ae8362c1d30c0dff98281cf4
            发现时间:2007.7
            更新时间:2007.7
            关联病毒:
            传播方式:通过MSN传播


            技术分析
            ==========

                        这个MSN病毒变种在生成的文件和启动项形式上和以往不同,没有释放dll。病毒被运行后在系统目录生成包含自身副本的ZIP压缩文件:
            %Windows%\images.zip
            压缩包内文件名是IMG+数字,扩展名是.pif,比如IMG34814.pif。

            同时创建一个副本:
            %Windows%\winlog32.exe

            创建启动项:

            [Copy to clipboard] [ - ]CODE:
            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
            "MSN"="winlog32.exe"
            试图使用c:\a.bat批处理停止“安全中心”和“WinVNC”服务:

            [Copy to clipboard] [ - ]CODE:
            @echo off
            net stop "Security Center"
            net stop winvnc4
            del c:\a.bat
            向MSN联系人发送消息和伪装成照片的带毒压缩包%Windows%\images.zip:

            QUOTE:
            LOL, you look so ugly in this picture, no joke...
            Should I put this on facebook/myspace?
            Hey m8, who is this on the right, in this picture...
            Sup, seen the pictures from the other night?
            当对方联系人接收并打开压缩包中的病毒文件时系统受感染。

            尝试连接远程IRC接收远程攻击者指令:down.basecore.info

            Mutex:ahfabbg


            清除步骤
            ==========

            1. 删除病毒的启动项:

            [Copy to clipboard] [ - ]CODE:
            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
            "MSN"="winlog32.exe"
            2. 重新启动计算机

            3. 删除病毒文件:
            %Windows%\images.zip
            %Windows%\winlog32.exe

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章