科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道MSN毒Backdoor.Win32.IRCBot.afm分析

MSN毒Backdoor.Win32.IRCBot.afm分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

MSN蠕虫病毒变种,和以往变种不同点较多,除了会向MSN联系人发送诱惑文字消息和带毒压缩包外,这个变种还会尝试通过局域网共享网络传播。

作者:zdnet安全频道 来源:论坛整理 2008年6月20日

关键字: MSN病毒 IRCBot

  • 评论
  • 分享微博
  • 分享邮件

MSN毒Backdoor.Win32.IRCBot.afm(game.rar video.rar)分析

病毒名称:Backdoor.Win32.IRCBot.afm(Kaspersky)
病毒别名:Trojan.Win32.Agent.vyl(瑞星)
      Win32.Hack.IRCBot.o.40960(毒霸)
病毒大小:40,960 字节
加壳方式:
样本MD5:c06d070c232bc6ac6346cbd282ef73ae
样本SHA1:b1d353b8ec4e7ac06d51a59e827a3731585c6b4b
发现时间:2007.9
更新时间:2007.9
关联病毒:
传播方式:通过MSN传播,通过管理共享在局域网内传播

技术分析
==========

MSN蠕虫病毒变种,和以往变种不同点较多,除了会向MSN联系人发送诱惑文字消息和带毒压缩包外,这个变种还会尝试通过局域网共享网络传播。

病毒运行后在系统目录生成副本和带毒压缩包,病毒副.本文件名不固定,大部分与系统文件名相同,可能有以下几种:
%System%\algs.exe
%System%\csrs.exe
%System%\explorer.exe
%System%\firewall.exe
%System%\iexplore.exe
%System%\isass.exe
%System%\logon.exe
%System%\lssas.exe
%System%\spooisv.exe
%System%\spoolsvc.exe
%System%\winamp.exe
%System%\winiogon.exe

创建的自启动项.可能有以下几种:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Application Layer Gateway Service"="%System%\algs.exe"
"Client Server Runtime Process"="%System%\csrs.exe"
"Local Security Authority Service"="%System%\Isass.exe"
"Local Security Authority Service"="%System%\lssas.exe"
"Microsoft Internet Explorer"="%System%\iexplore.exe"
"Spooler SubSystem App"="%System%\spooIsv.exe"
"Spooler SubSystem App"="%System%\spoolsvc.exe"
"Winamp Agent"="%System%\winamp.exe"
"Windows Explorer"="%System%\explorer.exe"
"Windows Logon Application"="%System%\logon.exe"
"Windows Logon Application"="%System%\winIogon.exe"
"Windows Network Firewall"="%System%\firewall.exe"

当前目录生成随机文件名.的bat文件删除自身原文件:

@echo off
:deleteagain
del /A:H /F {原文件}
del /F {原文件}
if exist {原文件} goto deleteagain
del %0

将自身添加到Windows防火墙例外列表中:

[HKEY_LOCAL_MACHINE\SYSTEM\Curre.ntControlSet\Services\SharedAccess\Parameters\

FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%System%\algs.exe"="%System%\algs.exe:*:Enabled:Application Layer Gateway Service"
"%System%\csrs.exe"="%System%\csrs.exe:*:Enabled:Client Server Runtime Process"
"%System%\explorer.exe"="%System%\explorer.exe:*:Enabled:Windows Explorer"
"%System%\firewall.exe"="%System%\firewall.exe:*:Enabled:Windows Network Firewall"
"%System%\iexplore.exe"="%System%\iexplore.exe:*:Enabled:Microsoft Internet Explorer"
"%System%\Isass.exe"="%System%\Isass.exe:*:Enabled:Local Security Authority Service"
"%System%\logon.exe"="%System%\logon.exe:*:Enabled:Windows Logon Application"
"%System%\lssas.exe"="%System%\lssas.exe:*:Enabled:Local Security Authority Service"
"%System%\spooIsv.exe"="%System%\spooIsv.exe:*:Enabled:Spooler SubSystem App"
"%System%\spoolsvc.exe"="%System%\spoolsvc.exe:*:Enabled:Spooler SubSystem App"
"%System%\winamp.exe"="%System%\winamp.exe:*:Enabled:Winamp Agent"
"%System%\winIogon.exe"="%System%\winIogon.exe:*:Enabled:Windows Logon Application"

病毒在系统目录生成的压缩包文件有:
%System%\game.rar
%System%\game.zip
%System%\IMG0007.rar
%System%\IMG0007.zip
%System%\photoalbum.rar
%System%\photoalbum.zip
%System%\video.rar
%System%\video.zip

向MSN联系人发送诱惑文字,并将上述压缩文件发送给对方诱使对方接收并打开。

病毒还可能通过系统管理共享传播到局域网内的其它计算机;访问.远程IRC服务器接受指令;下载其它变种或恶意程序;收集一些帐号、密码、序列号等信息。

清除步骤
==========

1. 删除病毒创建的自启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Application Layer Gateway Service"="%System%\algs.exe"
"Client Server Runtime Process"="%System%\csrs.exe"
"Local Security Authority Service"="%System%\Isass.exe"
"Local Security Authority Service"="%System%\lssas.exe"
"Microsoft Internet Explorer"="%System%\iexplore.exe"
"Spooler SubSystem App"="%System%\spooIsv.exe"
"Spooler SubSystem App"="%System%\spoolsvc.exe"
"Winamp Agent"="%System%\winamp.exe"
"Windows Explorer"="%System%\explorer.exe"
"Windows Logon Application"="%System%\logon.exe"
"Windows Logon Application"="%System%\winIogon.exe"
"Windows Network Firewall"="%System%\firewall.exe"

2. 重新启动计算机

3. 删除病毒文件:
%System%\algs.exe
%System%\csrs.exe
%System%\explorer.exe
%System%\firewall.exe
%System%\iexplore.exe
%System%\isass.exe
%System%\logon.exe
%System%\lssas.exe
%System%\spooisv.exe
%System%\spoolsvc.exe
%System%\winamp.exe
%System%\winiogon.exe
%System%\game.rar
%System%\game.zip
%System%\IMG0007.rar
%System%\IMG0007.zip
%System%\photoalbum.rar
%System%\photoalbum.zip
%System%\video.rar
%System%\video.zip

4. 删除病毒在Windows防火.墙例外中添加的信息:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\

FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%System%\algs.exe"="%System%\algs.exe:*:Enabled:Application Layer Gateway Service"
"%System%\csrs.exe"="%System%\csrs.exe:*:Enabled:Client Server Runtime Process"
"%System%\explorer.exe"="%System%\explorer.exe:*:Enabled:Windows Explorer"
"%System%\firewall.exe"="%System%\firewall.exe:*:Enabled:Windows Network Firewall"
"%System%\iexplore.exe"="%System%\iexplore.exe:*:Enabled:Microsoft Internet Explorer"
"%System%\Isass.exe"="%System%\Isass.exe:*:Enabled:Local Security Authority Service"
"%System%\logon.exe"="%System%\logon.exe:*:Enabled:Windows Logon Application"
"%System%\lssas.exe"="%System%\lssas.exe:*:Enabled:Local Security Authority Service"
"%System%\spooIsv.exe"="%System%\spooIsv.exe:*:Enabled:Spooler SubSystem App"
"%System%\spoolsvc.exe"="%System%\spoolsvc.exe:*:Enabled:Spooler SubSystem App"
"%System%\winamp.exe"="%System%\winamp.exe:*:Enabled:Winamp Agent"
"%System%\winIogon.exe"="%System%\winIogon.exe:*:Enabled:Windows Logon Application"

5. 使用反病毒软件进行全盘扫描。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章