【转贴】关于最新爆发的MSN蠕虫 photo album.zip rdshost.dll Backdoor.Win32.IRCBot.aaq
2007-03-29 20:18
357 查看
【转贴】关于最新爆发的MSN蠕虫 photo album.zip rdshost.dll
作者:newcenturymoon
最近发现社区里很多人反映MSN不断转发文字:Hey accept my photo album, Nice new pics of me and my
friends and stuff and when i was young lol...
然后转发附件photo album.zip
在 C.I.S.R.T发现了他的临时解决方案 特转发过来
【CISRT2007039】通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案
档案编号:CISRT2007039
病毒名称:Backdoor.Win32.IRCBot.aaq(Kaspersky)
病毒别名:
病毒大小:18,944 字节
加壳方式:UPX
样本MD5:383fa8f31bc56113dbb9f5b7527a6d0d
样本SHA1:f325df3287eb51c69bd783590c168609bebefd1a
发现时间:2007.3
更新时间:2007.3
关联病毒:
传播方式:通过MSN传播
技术分析
==========
病毒通过MSN传播,文件名photo album.zip,包含病毒文件photo album2007.pif,病毒被运行后,复制自
身到系统目录:
%Windows%/photo album.zip
另外释放一个dll文件注入Explorer.exe进程:
%System%/rdshost.dll
在注册表中创建ShellServiceObjectDelayLoad启动方式:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT/CLSID/{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}/InProcServer32]
@="rdshost.dll"
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:
{3CBAEB1E-422A-495D-A45F-5D9E10AACD4B}
向MSN好友发送信息:
QUOTE:
HEY lol i've done a new photo album !:) Second ill find file and send you it.
Hey wanna see my new photo album?
Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young
lol...
Hey just finished new photo album! :) might be a few nudes ;) lol...
hey you got a photo album? anyways heres my new photo album :) accept k?
hey man accept my new photo album.. :( made it for yah, been doing picture story of my life
lol..
同时将%Windows%/photo album.zip发送过去。
连接的IRC:darkjester.xplosionirc.net
清除步骤
==========
1. 删除病毒的启动项:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT/CLSID/{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}/InProcServer32]
@="rdshost.dll"
2. 重新启动计算机
3. 删除病毒文件:
%Windows%/photo album.zip
%System%/rdshost.dll
另外通过sreng操作步骤如下
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad下面的
<rdshost><rdshost.dll> []
键值
删除C:/WINDOWS/system32/rdshost.dll文件
和C:/WINDOWS/photo album.zip
作者:newcenturymoon
最近发现社区里很多人反映MSN不断转发文字:Hey accept my photo album, Nice new pics of me and my
friends and stuff and when i was young lol...
然后转发附件photo album.zip
在 C.I.S.R.T发现了他的临时解决方案 特转发过来
【CISRT2007039】通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案
档案编号:CISRT2007039
病毒名称:Backdoor.Win32.IRCBot.aaq(Kaspersky)
病毒别名:
病毒大小:18,944 字节
加壳方式:UPX
样本MD5:383fa8f31bc56113dbb9f5b7527a6d0d
样本SHA1:f325df3287eb51c69bd783590c168609bebefd1a
发现时间:2007.3
更新时间:2007.3
关联病毒:
传播方式:通过MSN传播
技术分析
==========
病毒通过MSN传播,文件名photo album.zip,包含病毒文件photo album2007.pif,病毒被运行后,复制自
身到系统目录:
%Windows%/photo album.zip
另外释放一个dll文件注入Explorer.exe进程:
%System%/rdshost.dll
在注册表中创建ShellServiceObjectDelayLoad启动方式:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT/CLSID/{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}/InProcServer32]
@="rdshost.dll"
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:
{3CBAEB1E-422A-495D-A45F-5D9E10AACD4B}
向MSN好友发送信息:
QUOTE:
HEY lol i've done a new photo album !:) Second ill find file and send you it.
Hey wanna see my new photo album?
Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young
lol...
Hey just finished new photo album! :) might be a few nudes ;) lol...
hey you got a photo album? anyways heres my new photo album :) accept k?
hey man accept my new photo album.. :( made it for yah, been doing picture story of my life
lol..
同时将%Windows%/photo album.zip发送过去。
连接的IRC:darkjester.xplosionirc.net
清除步骤
==========
1. 删除病毒的启动项:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT/CLSID/{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}/InProcServer32]
@="rdshost.dll"
2. 重新启动计算机
3. 删除病毒文件:
%Windows%/photo album.zip
%System%/rdshost.dll
另外通过sreng操作步骤如下
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad下面的
<rdshost><rdshost.dll> []
键值
删除C:/WINDOWS/system32/rdshost.dll文件
和C:/WINDOWS/photo album.zip
相关文章推荐
- 警惕新MSN蠕虫(album.scr)Backdoor.Win32.IRCBot.acd 推荐
- 关于DLL的若干问题(转贴)
- 关于跨进程使用回调函数的研究:以跨进程获取Richedit中RTF流为例(在Delphi 初始化每一个TWinControl 对象时,将会在窗体 的属性(PropData)中加入一些标志,DLL的HInstance的值与HOST 进程的HInstance并不一致)
- 关于update语句在不同数据库中的差别--[转贴]
- 关于android 系统sdk自带的解压包zip的坑
- 关于dom处理表格的问题 总结 转贴
- 优酷去广告最新的关于如何屏蔽优酷广告的方法
- 大数据【关于ssh: connect to host master port 22: Connection timed out问题的总结】
- 新蠕虫变种病毒大规模爆发 多数杀毒软件失灵
- 编译2010年x264最新的代码供VC编译使用DLL与LIB
- 关于ssh登录出现异常警告:WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
- 关于获取表中自增列最新的产生值
- MSN photo upload tool
- 关于在php.ini中添加extension=php_mysqli.dll指令的说明
- 关于Delphi中DLL,BPL等无法调试的问题
- 关于用dotfuscator混淆后dll不能调用的解决方法
- 关于最新的GoogleAdMobAdsSdk
- 关于VS添加外部dll文件的问题
- 关于DLL的函数
- 关于VS2005中编写DLL的一个异常问题