MSN蠕虫 drsys32.exe（ckdoor.Win32.IRCBot.and）

MSN蠕虫 drsys32.exe
ckdoor.Win32.IRCBot.and

文件名称：newimage.JPEG-www.freepicturehosting.com、drsys32.exe

文件大小：13824 byte

AV命名：

NOD32：Win32/IRCBot.AAF trojan
卡巴斯基：Backdoor.Win32.IRCBot.and
江民：Backdoor/IRCBot.apn
Dr.WEB：BackDoor.IRC.Suicide

加壳方式：PE-Shield, UPX

编写语言：Delphi

病毒类型：BackDoor、IRC

文件MD5：9eb75270850bbf3591f6c9b0abd73439

行为分析：

1、 释放病毒副本：

C:\Documents and Settings\Users\Local Settings\Temp\Picture003.zip （病毒压缩包） 14008 字节

C:\Windows\system32\drsys32.exe  13824 字节

2、 添加注册表，开机自启：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

MicrosoftDriverService32 = REG_SZ, "drsys32.exe "

3、 尝试启动MSN，可能是读取好友名单，尝试发送病毒压缩包和一些文字。

4、 可能出现的文字是：

根据http://www.dump.no/files/5fc04da46ec6/list.txt获得。

Hey, this chick is REALLY Hot... check this out
Why did you send me this pic? Its disgusting!
I＇m trying to decide which car to get, heres the pic of the first
Do you think my girlfriend is cute? Take a look
I＇m naked in this picture, so dont share it ;)
I wanna be a pornstar... what do you think of this shot?
I just posted this picture on hotornot.com, what would you rate me?
How much money do you think this is worth? Check out this pic of it for me
I hope you like this, I made it in photoshop
I need somewhere to host this picture... can you help me out?
What size tits are these? I think they＇re a D cup but I＇m not sure
Hey I＇m bored, check this out

5、 副本释放完成后，删除自身，避免被发觉。

6、 该病毒可能会查找雅虎通的窗口，可能会源该软件传播（未验证）。

7、 连接213.232.92.1**的7007端口，每隔一段检查是否有IRCBot的命令，可能是：

USER
PASS
NICK
PART
JOIN
QUIT :Removing
QUIT :Reconnecting
PRIVMSG
KICK
JOIN %s %s
PONG %s

相对应的IRC服务器：

irc.reconnect
irc.join
irc.part
irc.sync

解决方法：

1、 下载SREng。直接放桌面，关闭不需要的进程，断开网络！！

2、 打开任务管理器，结束drsys32.exe进程。

3、 打开SREng，删除其启动项：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{MicrosoftDriverService32}{drsys32.exe}  []

4、 删除其文件和病毒压缩包：

C:\Documents and Settings\Users\Local Settings\Temp\Picture003.zip （病毒压缩包） 14008 字节

C:\Windows\system32\drsys32.exe  13824 字节

PS：Users是你的用户名！