C.I.S.R.T. 论坛 » 流行病毒解决方案 - Solutions for malwares » 【CISRT2007135】通过MSN传播的IRCBot img807.zip vpcrtf.exe 解决方案

‹‹ 上一主题 | 下一主题 ››

发新话题

打印

【CISRT2007135】通过MSN传播的IRCBot img807.zip vpcrtf.exe 解决方案

海色の月

C.I.S.R.T.

管理员

Rank: 12

C.I.S.R.T.

管理员 C.I.S.R.T.

发短消息
加为好友
当前离线

1^# 大中小发表于 2007-8-13 23:32 只看该作者

【CISRT2007135】通过MSN传播的IRCBot img807.zip vpcrtf.exe 解决方案

档案编号：CISRT2007135
病毒名称：Backdoor.Win32.IRCBot.zi（Kaspersky）
病毒别名：Generic.f（McAfee）
　　　　　 Worm.MSN.Win32.Msnfoto.a（瑞星）
　　　　　 Win32.Troj.MsnBot.ce.86528（毒霸）
病毒大小：86,528 字节
加壳方式：
样本MD5：7299c5d5d5761779dfedfbd3808c8ed8
样本SHA1：0fd4411e440c07e61090d6cf96b0ebb5dfa75512
发现时间：2007.8
更新时间：2007.8
关联病毒：
传播方式：通过MSN传播

技术分析
==========

变种：
【CISRT2007039】通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案
【CISRT2007040】通过MSN传播的IRCBot photo album.zip rdfhost.dll 解决方案
【CISRT2007044】通过MSN传播的IRCBot photo album.zip rdihost.dll 解决方案
【CISRT2007068】通过MSN传播的IRCBot photos.zip syshosts.dll 解决方案
【CISRT2007079】通过MSN传播的IRCBot myalbum2007.zip sysprinters.dll 解决方案
【CISRT2007101】通过MSN传播的IRCBot notiffy.dll printers.exe 解决方案
【CISRT2007102】通过MSN传播的IRCBot firewallav.dll printers.exe 解决方案
【CISRT2007103】通过MSN传播的IRCBot images.zip rafba.dll 解决方案
【CISRT2007104】通过MSN传播的IRCBot images.zip winlog32.exe 解决方案
【CISRT2007105】通过MSN传播的IRCBot msn.exe libcintles3.dll 解决方案
【CISRT2007106】通过MSN传播的IRCBot msn.exe notice.dll 解决方案
【CISRT2007107】通过MSN传播的IRCBot intlprinters.exe libcintles3.dll 解决方案
【CISRT2007109】通过MSN传播的IRCBot printers.exe msn.dll 解决方案
【CISRT2007110】通过MSN传播的IRCBot libcinet.exe libwinets.dll 解决方案
【CISRT2007111】通过MSN传播的IRCBot msnmsg.exe pic.zip 解决方案
【CISRT2007112】通过MSN传播的IRCBot intlprinters.exe libcintle2.dll 解决方案
【CISRT2007130】通过MSN传播的IRCBot svchost.exe img1756.zip 解决方案
【CISRT2007132】通过MSN传播的IRCBot pics.zip s2.exe 解决方案
【CISRT2007133】通过MSN传播的 PictureAlbum2007.zip prodigys323.dll 解决方案

病毒向MSN联系人发送消息和伪装成照片的带毒压缩包，当对方联系人接收并打开压缩包中的文件时系统受到感染。

病毒运行后在系统目录生成包含自身的ZIP压缩包：
%Windows%\img807.zip
其中包含的病毒文件名为：img807.jpg-www.photoalbums.com

令创建病毒副本并运行：
%Windows%\vpcrtf.exe
（注：病毒使用了Windows XP系统默认的JPG图标）

创建启动项：

复制内容到剪贴板

代码:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Visual Application"="vpcrtf.exe"

使用c:\a.bat批处理停止“安全中心”和“WINVNC”服务：

复制内容到剪贴板

代码:

@echo off

net stop "Security Center"

net stop winvnc4

del c:\a.bat

向MSN联系人发送消息和伪装成照片的带毒压缩包%Windows%\img807.zip：

引用:

Did you take this picture?
is that you on the left?
How drunk was I in this picture?
Is that your mom in this picture?
lol, your mom just sent me this picture?

连接远程IRC：vpn.basecore.info

Mutex: XIBYC

清除步骤
==========

1. 删除病毒创建的启动项：

复制内容到剪贴板

代码:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Visual Application"="vpcrtf.exe"

2. 重新启动计算机

3. 删除病毒文件：
%Windows%\img807.zip
%Windows%\vpcrtf.exe

发布时间：2007-08-13 23:25
更新时间：2007-08-15 09:04

海色の月
-----------------------------
amezhs@cisrt.org
amezhs@cisrt.com

http://www.cisrt.org
-----------------------------

TOP

‹‹ 上一主题 | 下一主题 ››

发新话题