通过MSN传播的IRCBot img4851.zip winfp.exe 解决方案
2007-09-08 20:15
417 查看
转自:http://www.cisrt.org/bbs
病毒名称:Backdoor.Win32.Agent.bez(Kaspersky)
病毒别名:Worm.MSN.Win32.Msnfoto.b(瑞星)
病毒大小:22,234 字节
加壳方式:
样本MD5:0e2d5785f9da0190ee5d3ebbf4238ac7
样本SHA1:1d1fa59237757b46b554d2d474443e862865a918
发现时间:2007.9
更新时间:2007.9
关联病毒:
传播方式:通过MSN传播
技术分析
==========
MSN蠕虫变种,向MSN联系人发送诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。
病毒运行后在系统目录生成包含自身的带毒ZIP压缩包:
%Windows%\img4851.zip
其中包含病毒文件名为:img4851.jpg-www.myspace.com
创建副本:
%Windows%\winfp.exe
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Audio Device Manager"="winfp.exe"
使用批处理c:\a.bat停止“安全中心”和“WinVNC”服务:
@echo off
net stop "Security Center"
net stop winvnc4
del c:\a.bat
向MSN联系人发送诱惑文字消息,同时发送带毒压缩包img4851.zip诱使联系人接收打开:
WoW? is that really you...
what the hell where you drinking :D
LOL, you look so ugly in this picture, no joke...
Should I put this on facebook/myspace?
Hey m8, who is this on the right, in this picture...
Sup, seen the pictures from the other night?
尝试连接远程IRC:ns2.darksheekz.info
清除步骤
==========
1. 删除病毒创建的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Audio Device Manager"="winfp.exe"
2. 重新启动计算机
3. 删除病毒文件:
%Windows%\winfp.exe
%Windows%\img4851.zip
病毒名称:Backdoor.Win32.Agent.bez(Kaspersky)
病毒别名:Worm.MSN.Win32.Msnfoto.b(瑞星)
病毒大小:22,234 字节
加壳方式:
样本MD5:0e2d5785f9da0190ee5d3ebbf4238ac7
样本SHA1:1d1fa59237757b46b554d2d474443e862865a918
发现时间:2007.9
更新时间:2007.9
关联病毒:
传播方式:通过MSN传播
技术分析
==========
MSN蠕虫变种,向MSN联系人发送诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。
病毒运行后在系统目录生成包含自身的带毒ZIP压缩包:
%Windows%\img4851.zip
其中包含病毒文件名为:img4851.jpg-www.myspace.com
创建副本:
%Windows%\winfp.exe
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Audio Device Manager"="winfp.exe"
使用批处理c:\a.bat停止“安全中心”和“WinVNC”服务:
@echo off
net stop "Security Center"
net stop winvnc4
del c:\a.bat
向MSN联系人发送诱惑文字消息,同时发送带毒压缩包img4851.zip诱使联系人接收打开:
WoW? is that really you...
what the hell where you drinking :D
LOL, you look so ugly in this picture, no joke...
Should I put this on facebook/myspace?
Hey m8, who is this on the right, in this picture...
Sup, seen the pictures from the other night?
尝试连接远程IRC:ns2.darksheekz.info
清除步骤
==========
1. 删除病毒创建的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Audio Device Manager"="winfp.exe"
2. 重新启动计算机
3. 删除病毒文件:
%Windows%\winfp.exe
%Windows%\img4851.zip
相关文章推荐
- 通过MSN传播的IRCBot Z058_jpg.zip wdfmgr.exe 解决方案
- 通过MSN传播的IRCBot imag091307.zip winlogon.exe 解决方案
- 手工清除通过MSN传播的MY PHOTO恶意程序
- 超过7000款恶意软件通过Android第三方应用商店传播
- 通过U盘传播的“病毒”
- EasyUI 关于 panel,window,dialog 通过href加载页面,页面中引用的js不执行的解决方案
- OKVIS编译无法通过及其解决方案
- Qt+OpenCV运行时可以编译通过,但总是出程序异常结束。解决方案!
- PADS 9.2使用过程中的问题及解决方案(均通过验证)
- 调试通过的解决方案部署到生产服务器出现错误—未将对象引用设置到对象的实例
- 在ABP中通过EF直接执行原生Sql的解决方案
- Windows程序运行不能通过的解决方案
- Windows Azure 客户真实案例:交互式解决方案提供商获得了敏捷性,通过托管服务节省了成本
- MSN登陆不了的解决方案
- 可以ping通,但无法通过ssh连接虚拟机的解决方案
- GCDAsyncSocket 尝试通过不同端口连接服务器的解决方案
- 通过QQ邮箱的SMTP服务器发送QQ邮件至163邮箱提示“发送邮件失败”的解决方案(三种可能性,不妨一试)
- 关于IOS7.1企业版发布后,用户通过sarafi浏览器安装无效的解决方案:
- mysql通过mysqldump和mysqlbinlog恢复数据,binlog恢复数据失败解决方案
- Maven 编译不通过 简单clean 解决方案、 war包工程依赖的方法要使用deploy,否则报classNotFound