通过MSN传播的IRCBot img4851.zip winfp.exe 解决方案

转自：http://www.cisrt.org/bbs

病毒名称：Backdoor.Win32.Agent.bez（Kaspersky）
病毒别名：Worm.MSN.Win32.Msnfoto.b（瑞星）
病毒大小：22,234 字节
加壳方式：
样本MD5：0e2d5785f9da0190ee5d3ebbf4238ac7
样本SHA1：1d1fa59237757b46b554d2d474443e862865a918
发现时间：2007.9
更新时间：2007.9
关联病毒：
传播方式：通过MSN传播

技术分析

==========

MSN蠕虫变种，向MSN联系人发送诱惑文字消息和带毒压缩包，当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。

病毒运行后在系统目录生成包含自身的带毒ZIP压缩包：
%Windows%\img4851.zip

其中包含病毒文件名为：img4851.jpg-www.myspace.com

创建副本：
%Windows%\winfp.exe

创建启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Audio Device Manager"="winfp.exe"
使用批处理c:\a.bat停止“安全中心”和“WinVNC”服务：

@echo off

net stop "Security Center"

net stop winvnc4

del c:\a.bat
向MSN联系人发送诱惑文字消息，同时发送带毒压缩包img4851.zip诱使联系人接收打开：

WoW? is that really you...

what the hell where you drinking :D

LOL, you look so ugly in this picture, no joke...

Should I put this on facebook/myspace?

Hey m8, who is this on the right, in this picture...

Sup, seen the pictures from the other night?
尝试连接远程IRC：ns2.darksheekz.info

清除步骤

==========

1. 删除病毒创建的启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Audio Device Manager"="winfp.exe"
2. 重新启动计算机

3. 删除病毒文件：
%Windows%\winfp.exe

%Windows%\img4851.zip