Backdoor.Win32.IRCBot.acd
文件名称:album11.scr
文件大小:116736 byte
字串7
AV命名:Backdoor.Win32.IRCBot.acd(卡吧斯基) 字串3
加壳方式:Ntkrnl protector 字串8
编写语言:Borland Delphi 6.0 - 7.0
字串7
病毒类型:后门(IRC)
字串5
文件MD5:EF5B233300CF8F9C3C9B0A861111EC8D
字串8
文件SHA1:33388AD6BFAB9BE01E4754AC482098E142BF395C
字串1
传播方式:MSN、网络。 字串5
行为分析:
字串9
1、释放病毒文件:
字串8
%Systemroot%images3.zip 116856 字节 (病毒副本) 字串2
注意!可能文件名不一样。
字串2
%Systemroot%system32libcintles3.dll 26000 字节
字串5
%Systemroot%system32msn.exe 116736 字节
字串5
%Systemroot%为:C:Winnt(2000、ME系统) C:Windows(XP、2003) 字串3
2、libcintles3.dll 注入Explorer进程,检测MSN窗口,尝试发送病毒副本和一些诱人的语言(未实现)
字串7
(接收并运行病毒文件的MSN好友则成为新的传播体``) 字串4
3、连接远程IRC服务器(89.188.16.60)等待黑客命令(穿防火墙),从而沦落为肉机。 字串1
4、如检测到无MSN进程,则隔段时间以无判断的方式尝试激活: 字串4
C:Program FilesMSN Messengermsnmsgr.exe
字串9
5、连接IRC服务器下载文件: 字串1
C:Documents and Settingsadministratorqndqoh.exe 5548 字节 字串4
C:Documents and Settingsadministratorcfqxuk.exe 5548 字节
字串1
(文件名不固定)字串5
不是可执行文件。通过抓包分析,应该是根据里面记录的一些网站进行攻击。
字串6
6、libcintles3.dll修改注册表: 字串9
HKEY_CLASSES_ROOTCLSID\InProcServer32
REG_SZ, "libcintles3.dll " 字串8
注意,可能不一样。
字串5
实现开机注入进程。
字串4
还有个: 字串9
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoadprinters 字串8
指向的是
字串4
呵呵,比较隐蔽。以前的MSN蠕虫貌似没有添加这个。
字串9
字串4
解决方法: 字串9
推荐:去网上查找下MSN蠕虫专杀吧``比较省事`` =。=
字串5
手工清除: 字串2
http://free.ys168.com/?gudugengkekao下载: 字串3
冰刃.rar 2,110KB 字串9
sreng2.5.zip 780KB 字串6
直接放桌面,断开网络。 字串9
1、打开冰刃,禁止线程创建,确定。
字串5
2、使用冰刃“文件”功能,删除: 字串7
%Systemroot%images3.zip 116856 字节 (病毒副本) 字串6
(注意变通,文件名不固定的) 字串3
%Systemroot%system32libcintles3.dll 26000 字节
字串9
%Systemroot%system32msn.exe 116736 字节 字串2
%Systemroot%为:C:Winnt(2000、ME系统) C:Windows(XP、2003)
字串2
字串5
C:Documents and Settingsadministratorqndqoh.exe 5548 字节 字串3
C:Documents and Settingsadministratorcfqxuk.exe 5548 字节 字串7
注意,文件名可能不固定,注意看文件大小。 字串8
还有administrator用户名不固定。。以你当前用户名为准。
字串4
3、设置冰刃,重启并监视。 字串4
4、重启后开SREng,删除: 字串7
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
字串3
<printers><libcintles3.dll> [] 字串2
后打开注册表,查找libcintles3.dll ,有找到的删除,最好先备份下哈