Win32.Troj.MSNbot.av.25600

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

MSN蠕虫照片25600

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

25600

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个利用MSN即时聊天工具进行传播的后门程序。它会向中毒用户的MSN联系人发送伪装成照片的含毒文件,当对方接收并打开后,病毒就会在对方的电脑系统中制作后门,等待黑客入侵。

病毒判定当前是否存在MSN窗口,如有则向所有联系人发送指定诱惑性语言和文件DSC01497.zip,解压后为病毒副本,副本文件名img0913**-www.photoshop.com;如无MSN窗口则连接指定服务器,发送本机信息并接收指令,受感染用户即被控制;

病毒行为:

1.释放文件:

%WinDri%\DSC01497.zip,

%System32%\dllcache\spoolms.exe

2.修改注册表,创建自启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,

“spoolms.exe”=%System32%\dllcache\spoolms.exe

修改注册表,在Windows防火墙中添加自身到例外列表:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List,

“X:\WINDOWS\system32\dllcache\spoolms.exe”=X:\WINDOWS\system32\dllcache\spoolms.exe:*:Enabled:WindowsSharing

修改等待服务关闭时间

HKLM\SYSTEM\CurrentControlSet\Control,"WaitToKillServiceTimeout"="7000"

3.如有MSN程序运行,向当前联系人发送文件DSC01497.zip;

4.通过判定系统版本,选取文本信息以诱惑联系人接收文件。

以下是部分待选取信息:

ZHESHIWODELUOZHAO:oQINGBUYAOFAGEIBIEREN!!.-D:i)XXW&_KS

YIZHANGWOGENWOPENGYOUZUIHAODEZHAOPIAN:s!!.

JIESHOUWODEZHAOPIAN:>!!.

KANWODEZHAOPIAN:D.

NIHEWO!!!....QINGKAN:D.+lp0iL$Yw0{

kANBALIXIERDUNJINJIANYUHOUSHIDUOMEQIAOCUI:<.:P2iOt^(A5sE#A

wow!moetjeeenskijkenwelkefotoiknugevondenheb!

Checkoutmynicephotoalbum.:D!V

Myfriendtooknicephotosofme.youShouldseeemloL!xp#~i$V:),Q

Herearemyprivatepicturesforyou

5.连接指定IRC服务器58.20.109.46,目的端口21888,协议:Tcp,

向该端口发送交互信息连接服务器:

PASSSireEnX;密码

NICK[00|CHN|XP|873490];昵称由本机信息字符序列组成

USERXP-9225*0:SANLEN-50804D50;当前主机名

并从服务器接收黑客指令执行。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航