扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
MSN毒Backdoor.Win32.IRCBot.afm(game.rar video.rar)分析
病毒名称:Backdoor.Win32.IRCBot.afm(Kaspersky)
病毒别名:Trojan.Win32.Agent.vyl(瑞星)
Win32.Hack.IRCBot.o.40960(毒霸)
病毒大小:40,960 字节
加壳方式:
样本MD5:c06d070c232bc6ac6346cbd282ef73ae
样本SHA1:b1d353b8ec4e7ac06d51a59e827a3731585c6b4b
发现时间:2007.9
更新时间:2007.9
关联病毒:
传播方式:通过MSN传播,通过管理共享在局域网内传播
技术分析
==========
MSN蠕虫病毒变种,和以往变种不同点较多,除了会向MSN联系人发送诱惑文字消息和带毒压缩包外,这个变种还会尝试通过局域网共享网络传播。
病毒运行后在系统目录生成副本和带毒压缩包,病毒副.本文件名不固定,大部分与系统文件名相同,可能有以下几种:
%System%\algs.exe
%System%\csrs.exe
%System%\explorer.exe
%System%\firewall.exe
%System%\iexplore.exe
%System%\isass.exe
%System%\logon.exe
%System%\lssas.exe
%System%\spooisv.exe
%System%\spoolsvc.exe
%System%\winamp.exe
%System%\winiogon.exe
创建的自启动项.可能有以下几种:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Application Layer Gateway Service"="%System%\algs.exe"
"Client Server Runtime Process"="%System%\csrs.exe"
"Local Security Authority Service"="%System%\Isass.exe"
"Local Security Authority Service"="%System%\lssas.exe"
"Microsoft Internet Explorer"="%System%\iexplore.exe"
"Spooler SubSystem App"="%System%\spooIsv.exe"
"Spooler SubSystem App"="%System%\spoolsvc.exe"
"Winamp Agent"="%System%\winamp.exe"
"Windows Explorer"="%System%\explorer.exe"
"Windows Logon Application"="%System%\logon.exe"
"Windows Logon Application"="%System%\winIogon.exe"
"Windows Network Firewall"="%System%\firewall.exe"
当前目录生成随机文件名.的bat文件删除自身原文件:
@echo off
:deleteagain
del /A:H /F {原文件}
del /F {原文件}
if exist {原文件} goto deleteagain
del %0
将自身添加到Windows防火墙例外列表中:
[HKEY_LOCAL_MACHINE\SYSTEM\Curre.ntControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%System%\algs.exe"="%System%\algs.exe:*:Enabled:Application Layer Gateway Service"
"%System%\csrs.exe"="%System%\csrs.exe:*:Enabled:Client Server Runtime Process"
"%System%\explorer.exe"="%System%\explorer.exe:*:Enabled:Windows Explorer"
"%System%\firewall.exe"="%System%\firewall.exe:*:Enabled:Windows Network Firewall"
"%System%\iexplore.exe"="%System%\iexplore.exe:*:Enabled:Microsoft Internet Explorer"
"%System%\Isass.exe"="%System%\Isass.exe:*:Enabled:Local Security Authority Service"
"%System%\logon.exe"="%System%\logon.exe:*:Enabled:Windows Logon Application"
"%System%\lssas.exe"="%System%\lssas.exe:*:Enabled:Local Security Authority Service"
"%System%\spooIsv.exe"="%System%\spooIsv.exe:*:Enabled:Spooler SubSystem App"
"%System%\spoolsvc.exe"="%System%\spoolsvc.exe:*:Enabled:Spooler SubSystem App"
"%System%\winamp.exe"="%System%\winamp.exe:*:Enabled:Winamp Agent"
"%System%\winIogon.exe"="%System%\winIogon.exe:*:Enabled:Windows Logon Application"
病毒在系统目录生成的压缩包文件有:
%System%\game.rar
%System%\game.zip
%System%\IMG0007.rar
%System%\IMG0007.zip
%System%\photoalbum.rar
%System%\photoalbum.zip
%System%\video.rar
%System%\video.zip
向MSN联系人发送诱惑文字,并将上述压缩文件发送给对方诱使对方接收并打开。
病毒还可能通过系统管理共享传播到局域网内的其它计算机;访问.远程IRC服务器接受指令;下载其它变种或恶意程序;收集一些帐号、密码、序列号等信息。
清除步骤
==========
1. 删除病毒创建的自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Application Layer Gateway Service"="%System%\algs.exe"
"Client Server Runtime Process"="%System%\csrs.exe"
"Local Security Authority Service"="%System%\Isass.exe"
"Local Security Authority Service"="%System%\lssas.exe"
"Microsoft Internet Explorer"="%System%\iexplore.exe"
"Spooler SubSystem App"="%System%\spooIsv.exe"
"Spooler SubSystem App"="%System%\spoolsvc.exe"
"Winamp Agent"="%System%\winamp.exe"
"Windows Explorer"="%System%\explorer.exe"
"Windows Logon Application"="%System%\logon.exe"
"Windows Logon Application"="%System%\winIogon.exe"
"Windows Network Firewall"="%System%\firewall.exe"
2. 重新启动计算机
3. 删除病毒文件:
%System%\algs.exe
%System%\csrs.exe
%System%\explorer.exe
%System%\firewall.exe
%System%\iexplore.exe
%System%\isass.exe
%System%\logon.exe
%System%\lssas.exe
%System%\spooisv.exe
%System%\spoolsvc.exe
%System%\winamp.exe
%System%\winiogon.exe
%System%\game.rar
%System%\game.zip
%System%\IMG0007.rar
%System%\IMG0007.zip
%System%\photoalbum.rar
%System%\photoalbum.zip
%System%\video.rar
%System%\video.zip
4. 删除病毒在Windows防火.墙例外中添加的信息:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%System%\algs.exe"="%System%\algs.exe:*:Enabled:Application Layer Gateway Service"
"%System%\csrs.exe"="%System%\csrs.exe:*:Enabled:Client Server Runtime Process"
"%System%\explorer.exe"="%System%\explorer.exe:*:Enabled:Windows Explorer"
"%System%\firewall.exe"="%System%\firewall.exe:*:Enabled:Windows Network Firewall"
"%System%\iexplore.exe"="%System%\iexplore.exe:*:Enabled:Microsoft Internet Explorer"
"%System%\Isass.exe"="%System%\Isass.exe:*:Enabled:Local Security Authority Service"
"%System%\logon.exe"="%System%\logon.exe:*:Enabled:Windows Logon Application"
"%System%\lssas.exe"="%System%\lssas.exe:*:Enabled:Local Security Authority Service"
"%System%\spooIsv.exe"="%System%\spooIsv.exe:*:Enabled:Spooler SubSystem App"
"%System%\spoolsvc.exe"="%System%\spoolsvc.exe:*:Enabled:Spooler SubSystem App"
"%System%\winamp.exe"="%System%\winamp.exe:*:Enabled:Winamp Agent"
"%System%\winIogon.exe"="%System%\winIogon.exe:*:Enabled:Windows Logon Application"
5. 使用反病毒软件进行全盘扫描。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。