病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
40960
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个黑客后门病毒,病毒会连接指定的IRC频道,接受黑客命令。该病毒通过MSN传播。
1、在如下路径创建病毒自身的zip压缩文件:
%Windows%\photoalbum.zip
在如下路径生成病毒文件:
%system%\rdshost.dll
2、修改注册表,添加如下键值:
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
rdshost="{E3D44709-5E78-462A-98AF-370D9A8F8D91}"
HKCR\CLSID\{E3D44709-5E78-462A-98AF-370D9A8F8D91}\InProcServer32
(Default)="rdshost.dll"
3、遍历系统进程,寻找explorer.exe进程,找到后注入病毒代码加载rdshost.dll病毒文件。
4、rdshost.dll创建病毒线程,连接如下IRC服务器,接受黑客命令:
darkjester.xplosionirc.net
5、通过MSN传播,发送以下内容迷惑用户:
HEYloli"vedoneanewphotoalbum!:)Secondillfindfileandsendyouit.
Heywannaseemynewphotoalbum?
Heyacceptmyphotoalbum,Nicenewpicsofmeandmyfriendsandstuffandwheniwasyounglol...
Heyjustfinishednewphotoalbum!:)mightbeafewnudes;)lol...
heyyougotaphotoalbum?anywaysheresmynewphotoalbum:)acceptk?
heymanacceptmynewphotoalbum..:(madeitforyah,beendoingpicturestoryofmylifelol..