病毒名称(中文):
MSN蠕虫照片25600
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
25600
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个利用MSN即时聊天工具进行传播的后门程序。它会向中毒用户的MSN联系人发送伪装成照片的含毒文件,当对方接收并打开后,病毒就会在对方的电脑系统中制作后门,等待黑客入侵。
病毒判定当前是否存在MSN窗口,如有则向所有联系人发送指定诱惑性语言和文件DSC01497.zip,解压后为病毒副本,副本文件名img0913**-www.photoshop.com;如无MSN窗口则连接指定服务器,发送本机信息并接收指令,受感染用户即被控制;
病毒行为:
1.释放文件:
%WinDri%\DSC01497.zip,
%System32%\dllcache\spoolms.exe
2.修改注册表,创建自启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
“spoolms.exe”=%System32%\dllcache\spoolms.exe
修改注册表,在Windows防火墙中添加自身到例外列表:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List,
“X:\WINDOWS\system32\dllcache\spoolms.exe”=X:\WINDOWS\system32\dllcache\spoolms.exe:*:Enabled:WindowsSharing
修改等待服务关闭时间
HKLM\SYSTEM\CurrentControlSet\Control,"WaitToKillServiceTimeout"="7000"
3.如有MSN程序运行,向当前联系人发送文件DSC01497.zip;
4.通过判定系统版本,选取文本信息以诱惑联系人接收文件。
以下是部分待选取信息:
ZHESHIWODELUOZHAO:oQINGBUYAOFAGEIBIEREN!!.-D:i)XXW&_KS
YIZHANGWOGENWOPENGYOUZUIHAODEZHAOPIAN:s!!.
JIESHOUWODEZHAOPIAN:>!!.
KANWODEZHAOPIAN:D.
NIHEWO!!!....QINGKAN:D.+lp0iL$Yw0{
kANBALIXIERDUNJINJIANYUHOUSHIDUOMEQIAOCUI:<.:P2iOt^(A5sE#A
wow!moetjeeenskijkenwelkefotoiknugevondenheb!
Checkoutmynicephotoalbum.:D!V
Myfriendtooknicephotosofme.youShouldseeemloL!xp#~i$V:),Q
Herearemyprivatepicturesforyou
5.连接指定IRC服务器58.20.109.46,目的端口21888,协议:Tcp,
向该端口发送交互信息连接服务器:
PASSSireEnX;密码
NICK[00|CHN|XP|873490];昵称由本机信息字符序列组成
USERXP-9225*0:SANLEN-50804D50;当前主机名
并从服务器接收黑客指令执行。
