今天,不幸中了msn的一個病毒。該病毒是最新的變種。自動給msn的好友發送imag091307.zip 和一些英文。在網上找了半天,試了N多專殺工具都沒有。還好,找到下面這篇文章,按照步驟徹底刪除了。
看來,今後msn傳得文件一定要小心謹慎。不要隨意接收和打開。
【CISRT2007169】通過MSN傳播的IRCBot imag091307.zip winlogon.exe 解決方案
檔案編號:CISRT2007169
病毒名稱:Backdoor.Win32.SdBot.bze(Kaspersky)
病毒別名:Worm.MSN.Win32.PhotoCheat.g(瑞星)
病毒大小:25,600 字節
加殼方式:UPX
樣本MD5:13abeb03d68eb64b08ba91e8181f9cc0
樣本SHA1:e6fc5c8ce1af47c2a547b7d5ca06a8e01491b285
發現時間:2007.9
更新時間:2007.9
關聯病毒:
傳播方式:通過MSN傳播
技術分析
==========
變種:
【CISRT2007039】通過MSN傳播的IRCBot photo album.zip rdshost.dll 解決方案
【CISRT2007040】通過MSN傳播的IRCBot photo album.zip rdfhost.dll 解決方案
【CISRT2007044】通過MSN傳播的IRCBot photo album.zip rdihost.dll 解決方案
【CISRT2007068】通過MSN傳播的IRCBot photos.zip syshosts.dll 解決方案
【CISRT2007079】通過MSN傳播的IRCBot myalbum2007.zip sysprinters.dll 解決方案
【CISRT2007101】通過MSN傳播的IRCBot notiffy.dll printers.exe 解決方案
【CISRT2007102】通過MSN傳播的IRCBot firewallav.dll printers.exe 解決方案
【CISRT2007103】通過MSN傳播的IRCBot images.zip rafba.dll 解決方案
【CISRT2007104】通過MSN傳播的IRCBot images.zip winlog32.exe 解決方案
【CISRT2007105】通過MSN傳播的IRCBot msn.exe libcintles3.dll 解決方案
【CISRT2007106】通過MSN傳播的IRCBot msn.exe notice.dll 解決方案
【CISRT2007107】通過MSN傳播的IRCBot intlprinters.exe libcintles3.dll 解決方案
【CISRT2007109】通過MSN傳播的IRCBot printers.exe msn.dll 解決方案
【CISRT2007110】通過MSN傳播的IRCBot libcinet.exe libwinets.dll 解決方案
【CISRT2007111】通過MSN傳播的IRCBot msnmsg.exe pic.zip 解決方案
【CISRT2007112】通過MSN傳播的IRCBot intlprinters.exe libcintle2.dll 解決方案
【CISRT2007130】通過MSN傳播的IRCBot svchost.exe img1756.zip 解決方案
【CISRT2007132】通過MSN傳播的IRCBot pics.zip s2.exe 解決方案
【CISRT2007133】通過MSN傳播的 PictureAlbum2007.zip prodigys323.dll 解決方案
【CISRT2007135】通過MSN傳播的IRCBot img807.zip vpcrtf.exe 解決方案
【CISRT2007141】通過MSN傳播的IRCBot msnfix.exe libweb.dll 解決方案
【CISRT2007146】通過MSN傳播的IRCBot IMG024.JPG.zip ehSched.exe 解決方案
【CISRT2007148】通過MSN傳播的IRCBot myphotos2007.zip newsystem25.dll 解決方案
【CISRT2007149】通過MSN傳播的IRCBot imgac157.zip winpo32.exe 解決方案
【CISRT2007150】通過MSN傳播的IRCBot img317.zip winsyshp.exe 解決方案
【CISRT2007151】通過MSN傳播的IRCBot S04_jpg.zip wab.exe 解決方案
【CISRT2007152】通過MSN傳播的IRCBot C005_jpg.zip sndrec32.exe 解決方案
【CISRT2007153】通過MSN傳播的IRCBot pic48174.zip firefoxpgm.exe 解決方案
【CISRT2007154】通過MSN傳播的IRCBot p0017_jpg.zip rcimlby.exe 解決方案
【CISRT2007155】通過MSN傳播的IRCBot F0538_jpg.zip chcp.exe 解決方案
【CISRT2007156】通過MSN傳播的IRCBot images.zip msnmsgs.exe 解決方案
【CISRT2007157】通過MSN傳播的IRCBot MyGallery5156.zip w32_mjd.dll 解決方案
【CISRT2007158】通過MSN傳播的IRCBot img4851.zip windrivers.exe 解決方案
【CISRT2007159】通過MSN傳播的IRCBot G038_jpg.zip CDSpeed.exe 解決方案
【CISRT2007163】通過MSN傳播的IRCBot img4851.zip winfp.exe 解決方案
【CISRT2007164】通過MSN傳播的IRCBot Z058_jpg.zip wdfmgr.exe 解決方案
【CISRT2007167】通過MSN傳播的IRCBot IMG-0012.zip lsass.exe 解決方案
MSN蠕蟲變種,向MSN聯繫人發送不同語言的誘惑文字消息和帶毒壓縮包,當聯繫人接收並打開帶毒壓縮包中的病毒文件時系統受到感染。
病毒運行後複製自身到系統目錄:
%System%\dllcache\winlogon.exe
創建包含自身的帶毒ZIP壓縮包:
%Windows%\imag091307.zip
其中包含的病毒文件名爲:img091307-www.photoshop.com
創建啓動項:
在Windows防火牆中添加自身到例外列表:
設置註冊表信息:
根據染毒系統的語言向MSN聯繫人發送相應的誘惑文字消息,同時發送帶毒壓縮包imag091307.zip誘使聯繫人接收打開:
嘗試連接遠程IRC:x.proxyisp.info
清除步驟
==========
1. 刪除病毒創建的啓動項:
2. 重新啓動計算機
3. 刪除病毒文件:
%System%\dllcache\winlogon.exe
%Windows%\imag091307.zip
4. 刪除Windows防火牆例外列表中的“Windows Sharing”項:
該項對應病毒文件:%System%\dllcache\winlogon.exe
5. 設置註冊表信息:
病毒名稱:Backdoor.Win32.SdBot.bze(Kaspersky)
病毒別名:Worm.MSN.Win32.PhotoCheat.g(瑞星)
病毒大小:25,600 字節
加殼方式:UPX
樣本MD5:13abeb03d68eb64b08ba91e8181f9cc0
樣本SHA1:e6fc5c8ce1af47c2a547b7d5ca06a8e01491b285
發現時間:2007.9
更新時間:2007.9
關聯病毒:
傳播方式:通過MSN傳播
技術分析
==========
變種:
【CISRT2007039】通過MSN傳播的IRCBot photo album.zip rdshost.dll 解決方案
【CISRT2007040】通過MSN傳播的IRCBot photo album.zip rdfhost.dll 解決方案
【CISRT2007044】通過MSN傳播的IRCBot photo album.zip rdihost.dll 解決方案
【CISRT2007068】通過MSN傳播的IRCBot photos.zip syshosts.dll 解決方案
【CISRT2007079】通過MSN傳播的IRCBot myalbum2007.zip sysprinters.dll 解決方案
【CISRT2007101】通過MSN傳播的IRCBot notiffy.dll printers.exe 解決方案
【CISRT2007102】通過MSN傳播的IRCBot firewallav.dll printers.exe 解決方案
【CISRT2007103】通過MSN傳播的IRCBot images.zip rafba.dll 解決方案
【CISRT2007104】通過MSN傳播的IRCBot images.zip winlog32.exe 解決方案
【CISRT2007105】通過MSN傳播的IRCBot msn.exe libcintles3.dll 解決方案
【CISRT2007106】通過MSN傳播的IRCBot msn.exe notice.dll 解決方案
【CISRT2007107】通過MSN傳播的IRCBot intlprinters.exe libcintles3.dll 解決方案
【CISRT2007109】通過MSN傳播的IRCBot printers.exe msn.dll 解決方案
【CISRT2007110】通過MSN傳播的IRCBot libcinet.exe libwinets.dll 解決方案
【CISRT2007111】通過MSN傳播的IRCBot msnmsg.exe pic.zip 解決方案
【CISRT2007112】通過MSN傳播的IRCBot intlprinters.exe libcintle2.dll 解決方案
【CISRT2007130】通過MSN傳播的IRCBot svchost.exe img1756.zip 解決方案
【CISRT2007132】通過MSN傳播的IRCBot pics.zip s2.exe 解決方案
【CISRT2007133】通過MSN傳播的 PictureAlbum2007.zip prodigys323.dll 解決方案
【CISRT2007135】通過MSN傳播的IRCBot img807.zip vpcrtf.exe 解決方案
【CISRT2007141】通過MSN傳播的IRCBot msnfix.exe libweb.dll 解決方案
【CISRT2007146】通過MSN傳播的IRCBot IMG024.JPG.zip ehSched.exe 解決方案
【CISRT2007148】通過MSN傳播的IRCBot myphotos2007.zip newsystem25.dll 解決方案
【CISRT2007149】通過MSN傳播的IRCBot imgac157.zip winpo32.exe 解決方案
【CISRT2007150】通過MSN傳播的IRCBot img317.zip winsyshp.exe 解決方案
【CISRT2007151】通過MSN傳播的IRCBot S04_jpg.zip wab.exe 解決方案
【CISRT2007152】通過MSN傳播的IRCBot C005_jpg.zip sndrec32.exe 解決方案
【CISRT2007153】通過MSN傳播的IRCBot pic48174.zip firefoxpgm.exe 解決方案
【CISRT2007154】通過MSN傳播的IRCBot p0017_jpg.zip rcimlby.exe 解決方案
【CISRT2007155】通過MSN傳播的IRCBot F0538_jpg.zip chcp.exe 解決方案
【CISRT2007156】通過MSN傳播的IRCBot images.zip msnmsgs.exe 解決方案
【CISRT2007157】通過MSN傳播的IRCBot MyGallery5156.zip w32_mjd.dll 解決方案
【CISRT2007158】通過MSN傳播的IRCBot img4851.zip windrivers.exe 解決方案
【CISRT2007159】通過MSN傳播的IRCBot G038_jpg.zip CDSpeed.exe 解決方案
【CISRT2007163】通過MSN傳播的IRCBot img4851.zip winfp.exe 解決方案
【CISRT2007164】通過MSN傳播的IRCBot Z058_jpg.zip wdfmgr.exe 解決方案
【CISRT2007167】通過MSN傳播的IRCBot IMG-0012.zip lsass.exe 解決方案
MSN蠕蟲變種,向MSN聯繫人發送不同語言的誘惑文字消息和帶毒壓縮包,當聯繫人接收並打開帶毒壓縮包中的病毒文件時系統受到感染。
病毒運行後複製自身到系統目錄:
%System%\dllcache\winlogon.exe
創建包含自身的帶毒ZIP壓縮包:
%Windows%\imag091307.zip
其中包含的病毒文件名爲:img091307-www.photoshop.com
創建啓動項:
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winlogon"="%System%\dllcache\winlogon.exe"
"winlogon"="%System%\dllcache\winlogon.exe"
在Windows防火牆中添加自身到例外列表:
CODE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%System%\dllcache\winlogon.exe"="%System%\dllcache\winlogon.exe:*:Enabled:Windows Sharing"
"%System%\dllcache\winlogon.exe"="%System%\dllcache\winlogon.exe:*:Enabled:Windows Sharing"
設置註冊表信息:
CODE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="7000"
"WaitToKillServiceTimeout"="7000"
根據染毒系統的語言向MSN聯繫人發送相應的誘惑文字消息,同時發送帶毒壓縮包imag091307.zip誘使聯繫人接收打開:
QUOTE:
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!.
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :s !!.
JIESHOU WO DE ZHAO PIAN :> !!.
KAN WO DE ZHAOPIAN :D.
NI HE WO !!! ....
QING KAN :D.
kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :<.
ay no ese pelo fue lo mas chistoso...q estabas pensando.
jajaja yo me recuerdo cuando tuvistes el pelo asi.
oye ponga esa foto en tu myspace como la foto principal.
voy a poner esa foto de nosotros en mi blog ya.
esa foto de tu y yo la voy a poner en myspace.
hola esas son las fotos jaja debes poner esa foto como foto principal en tu myspace o algo :D
oye voy a agregar esa foto a mi blog ya.
jaja recuerda cuando tuviste el pelo asi.
oye voy a poner esa foto de nosotros en mi myspace :>
Per favore nessuno lasciare vede le nostre foto.
Io ricordo quando abbiamo portato questa foto.
Caricher?questa foto al mio myspace adesso.
Qui sono il fotos di ci.
jaja lei dovrebbe fare quest'il suo pic predefinito sul myspace o qualcosa :D
metta questi fotos in suo pagina myspace.
ehi aggiunger?quest'immagine di noi al mio weblog.
jaja ricordo quando lei aveva i suoi capelli come questo.
ehi metter?quest'immagine di noi sul mio myspace :>
m鯿hten den pics von meinen Ferien sehen?!? Wimmern!
Blick auf diese alte Abbildung, die ich: fand!
he ich zeige Ihnen diese Abbildung von mir 黚erhaupt?
Haha sollten Sie dieses Ihre R點kstellung auf myspace oder etwas pic bilden:D
he werde ich diese Abbildung von uns meinem weblog hinzuf黦en!
lol erinnern sich, an als Sie pflegten, Ihr Haar so zu haben!
he werde ich diese Abbildung von uns auf mein myspace setzen!
wil je fotos zien van mijn vakantie!
wow! moet je eens kijken welke foto ik nu gevonden heb!
he heb je ooit deze foto laten zien ?
haha you moet die je standaard foto maken op hyves of myspace!
hey ik voeg deze foto van ons ff toe op mijn weblog!
lol ik kan me nog herrinneren toen je haar zoals dit had!
Hey i zet deze foto van ons even op mijn myspace!
d閒aut de la reproduction sonore ! regard ?cette vieille image que j'ai trouv閑 : |
mes photos chaudes :D
haha vous devriez rendre ceci votre d閒aut pic sur le myspace ou quelque chose :D
j'ai fais pour toi ce photo album tu dois le voire :p
h?veux tu voir mes image de vacance??
le lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci
h?je vais mettre cette image de nous sur mon myspace :>
Check out my nice photo album. :D
wanna see the pics from my vacation? :>
Nice new photos of me and my friends and stuff and when i was young lol...
lol remember when you used to have your hair like this
My friend took nice photos of me.
you Should see em loL!
hey i'm going to add this picture of us to my weblog
Here are my private pictures for you
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :s !!.
JIESHOU WO DE ZHAO PIAN :> !!.
KAN WO DE ZHAOPIAN :D.
NI HE WO !!! ....
QING KAN :D.
kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :<.
ay no ese pelo fue lo mas chistoso...q estabas pensando.
jajaja yo me recuerdo cuando tuvistes el pelo asi.
oye ponga esa foto en tu myspace como la foto principal.
voy a poner esa foto de nosotros en mi blog ya.
esa foto de tu y yo la voy a poner en myspace.
hola esas son las fotos jaja debes poner esa foto como foto principal en tu myspace o algo :D
oye voy a agregar esa foto a mi blog ya.
jaja recuerda cuando tuviste el pelo asi.
oye voy a poner esa foto de nosotros en mi myspace :>
Per favore nessuno lasciare vede le nostre foto.
Io ricordo quando abbiamo portato questa foto.
Caricher?questa foto al mio myspace adesso.
Qui sono il fotos di ci.
jaja lei dovrebbe fare quest'il suo pic predefinito sul myspace o qualcosa :D
metta questi fotos in suo pagina myspace.
ehi aggiunger?quest'immagine di noi al mio weblog.
jaja ricordo quando lei aveva i suoi capelli come questo.
ehi metter?quest'immagine di noi sul mio myspace :>
m鯿hten den pics von meinen Ferien sehen?!? Wimmern!
Blick auf diese alte Abbildung, die ich: fand!
he ich zeige Ihnen diese Abbildung von mir 黚erhaupt?
Haha sollten Sie dieses Ihre R點kstellung auf myspace oder etwas pic bilden:D
he werde ich diese Abbildung von uns meinem weblog hinzuf黦en!
lol erinnern sich, an als Sie pflegten, Ihr Haar so zu haben!
he werde ich diese Abbildung von uns auf mein myspace setzen!
wil je fotos zien van mijn vakantie!
wow! moet je eens kijken welke foto ik nu gevonden heb!
he heb je ooit deze foto laten zien ?
haha you moet die je standaard foto maken op hyves of myspace!
hey ik voeg deze foto van ons ff toe op mijn weblog!
lol ik kan me nog herrinneren toen je haar zoals dit had!
Hey i zet deze foto van ons even op mijn myspace!
d閒aut de la reproduction sonore ! regard ?cette vieille image que j'ai trouv閑 : |
mes photos chaudes :D
haha vous devriez rendre ceci votre d閒aut pic sur le myspace ou quelque chose :D
j'ai fais pour toi ce photo album tu dois le voire :p
h?veux tu voir mes image de vacance??
le lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci
h?je vais mettre cette image de nous sur mon myspace :>
Check out my nice photo album. :D
wanna see the pics from my vacation? :>
Nice new photos of me and my friends and stuff and when i was young lol...
lol remember when you used to have your hair like this
My friend took nice photos of me.
you Should see em loL!
hey i'm going to add this picture of us to my weblog
Here are my private pictures for you
嘗試連接遠程IRC:x.proxyisp.info
清除步驟
==========
1. 刪除病毒創建的啓動項:
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winlogon"="%System%\dllcache\winlogon.exe"
"winlogon"="%System%\dllcache\winlogon.exe"
2. 重新啓動計算機
3. 刪除病毒文件:
%System%\dllcache\winlogon.exe
%Windows%\imag091307.zip
4. 刪除Windows防火牆例外列表中的“Windows Sharing”項:
該項對應病毒文件:%System%\dllcache\winlogon.exe
5. 設置註冊表信息:
CODE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="20000"
"WaitToKillServiceTimeout"="20000"