MSN毒Backdoor.Win32.IRCBot.afm分析

MSN毒Backdoor.Win32.IRCBot.afm(game.rar video.rar)分析

病毒名称：Backdoor.Win32.IRCBot.afm（Kaspersky）
病毒别名：Trojan.Win32.Agent.vyl（瑞星）
　　　　　 Win32.Hack.IRCBot.o.40960（毒霸）
病毒大小：40,960 字节
加壳方式：
样本MD5：c06d070c232bc6ac6346cbd282ef73ae
样本SHA1：b1d353b8ec4e7ac06d51a59e827a3731585c6b4b
发现时间：2007.9
更新时间：2007.9
关联病毒：
传播方式：通过MSN传播，通过管理共享在局域网内传播

技术分析
==========

MSN蠕虫病毒变种，和以往变种不同点较多，除了会向MSN联系人发送诱惑文字消息和带毒压缩包外，这个变种还会尝试通过局域网共享网络传播。

病毒运行后在系统目录生成副本和带毒压缩包，病毒副.本文件名不固定，大部分与系统文件名相同，可能有以下几种：
%System%\algs.exe
%System%\csrs.exe
%System%\explorer.exe
%System%\firewall.exe
%System%\iexplore.exe
%System%\isass.exe
%System%\logon.exe
%System%\lssas.exe
%System%\spooisv.exe
%System%\spoolsvc.exe
%System%\winamp.exe
%System%\winiogon.exe

创建的自启动项.可能有以下几种：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Application Layer Gateway Service"="%System%\algs.exe"
"Client Server Runtime Process"="%System%\csrs.exe"
"Local Security Authority Service"="%System%\Isass.exe"
"Local Security Authority Service"="%System%\lssas.exe"
"Microsoft Internet Explorer"="%System%\iexplore.exe"
"Spooler SubSystem App"="%System%\spooIsv.exe"
"Spooler SubSystem App"="%System%\spoolsvc.exe"
"Winamp Agent"="%System%\winamp.exe"
"Windows Explorer"="%System%\explorer.exe"
"Windows Logon Application"="%System%\logon.exe"
"Windows Logon Application"="%System%\winIogon.exe"
"Windows Network Firewall"="%System%\firewall.exe"

当前目录生成随机文件名.的bat文件删除自身原文件：

@echo off
:deleteagain
del /A:H /F {原文件}
del /F {原文件}
if exist {原文件} goto deleteagain
del %0

将自身添加到Windows防火墙例外列表中：

[HKEY_LOCAL_MACHINE\SYSTEM\Curre.ntControlSet\Services\SharedAccess\Parameters\

FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%System%\algs.exe"="%System%\algs.exe:*:Enabled:Application Layer Gateway Service"
"%System%\csrs.exe"="%System%\csrs.exe:*:Enabled:Client Server Runtime Process"
"%System%\explorer.exe"="%System%\explorer.exe:*:Enabled:Windows Explorer"
"%System%\firewall.exe"="%System%\firewall.exe:*:Enabled:Windows Network Firewall"
"%System%\iexplore.exe"="%System%\iexplore.exe:*:Enabled:Microsoft Internet Explorer"
"%System%\Isass.exe"="%System%\Isass.exe:*:Enabled:Local Security Authority Service"
"%System%\logon.exe"="%System%\logon.exe:*:Enabled:Windows Logon Application"
"%System%\lssas.exe"="%System%\lssas.exe:*:Enabled:Local Security Authority Service"
"%System%\spooIsv.exe"="%System%\spooIsv.exe:*:Enabled:Spooler SubSystem App"
"%System%\spoolsvc.exe"="%System%\spoolsvc.exe:*:Enabled:Spooler SubSystem App"
"%System%\winamp.exe"="%System%\winamp.exe:*:Enabled:Winamp Agent"
"%System%\winIogon.exe"="%System%\winIogon.exe:*:Enabled:Windows Logon Application"

病毒在系统目录生成的压缩包文件有：
%System%\game.rar
%System%\game.zip
%System%\IMG0007.rar
%System%\IMG0007.zip
%System%\photoalbum.rar
%System%\photoalbum.zip
%System%\video.rar
%System%\video.zip

向MSN联系人发送诱惑文字，并将上述压缩文件发送给对方诱使对方接收并打开。

病毒还可能通过系统管理共享传播到局域网内的其它计算机；访问.远程IRC服务器接受指令；下载其它变种或恶意程序；收集一些帐号、密码、序列号等信息。

清除步骤
==========

1. 删除病毒创建的自启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Application Layer Gateway Service"="%System%\algs.exe"
"Client Server Runtime Process"="%System%\csrs.exe"
"Local Security Authority Service"="%System%\Isass.exe"
"Local Security Authority Service"="%System%\lssas.exe"
"Microsoft Internet Explorer"="%System%\iexplore.exe"
"Spooler SubSystem App"="%System%\spooIsv.exe"
"Spooler SubSystem App"="%System%\spoolsvc.exe"
"Winamp Agent"="%System%\winamp.exe"
"Windows Explorer"="%System%\explorer.exe"
"Windows Logon Application"="%System%\logon.exe"
"Windows Logon Application"="%System%\winIogon.exe"
"Windows Network Firewall"="%System%\firewall.exe"

2. 重新启动计算机

3. 删除病毒文件：
%System%\algs.exe
%System%\csrs.exe
%System%\explorer.exe
%System%\firewall.exe
%System%\iexplore.exe
%System%\isass.exe
%System%\logon.exe
%System%\lssas.exe
%System%\spooisv.exe
%System%\spoolsvc.exe
%System%\winamp.exe
%System%\winiogon.exe
%System%\game.rar
%System%\game.zip
%System%\IMG0007.rar
%System%\IMG0007.zip
%System%\photoalbum.rar
%System%\photoalbum.zip
%System%\video.rar
%System%\video.zip

4. 删除病毒在Windows防火.墙例外中添加的信息：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\

FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%System%\algs.exe"="%System%\algs.exe:*:Enabled:Application Layer Gateway Service"
"%System%\csrs.exe"="%System%\csrs.exe:*:Enabled:Client Server Runtime Process"
"%System%\explorer.exe"="%System%\explorer.exe:*:Enabled:Windows Explorer"
"%System%\firewall.exe"="%System%\firewall.exe:*:Enabled:Windows Network Firewall"
"%System%\iexplore.exe"="%System%\iexplore.exe:*:Enabled:Microsoft Internet Explorer"
"%System%\Isass.exe"="%System%\Isass.exe:*:Enabled:Local Security Authority Service"
"%System%\logon.exe"="%System%\logon.exe:*:Enabled:Windows Logon Application"
"%System%\lssas.exe"="%System%\lssas.exe:*:Enabled:Local Security Authority Service"
"%System%\spooIsv.exe"="%System%\spooIsv.exe:*:Enabled:Spooler SubSystem App"
"%System%\spoolsvc.exe"="%System%\spoolsvc.exe:*:Enabled:Spooler SubSystem App"
"%System%\winamp.exe"="%System%\winamp.exe:*:Enabled:Winamp Agent"
"%System%\winIogon.exe"="%System%\winIogon.exe:*:Enabled:Windows Logon Application"

5. 使用反病毒软件进行全盘扫描。