发新话题
打印

【CISRT2007068】通过MSN传播的IRCBot photos.zip syshosts.dll 解决方案

【CISRT2007068】通过MSN传播的IRCBot photos.zip syshosts.dll 解决方案

档案编号:CISRT2007068
病毒名称:Backdoor.Win32.IRCBot.aaq(Kaspersky)
病毒别名:Worm.Mail.Photocheat.a(瑞星)
      Worm.MsnBot.h.479232(毒霸)
病毒大小:479,232 字节
加壳方式
样本MD5:9784ab71076f583ce02de0340554aefa
样本SHA1:02965774e26055bdf9a1e5dc223fd1bde2b74347
发现时间:2007.6.1
更新时间:2007.6.1
关联病毒
传播方式:通过MSN传播


技术分析
==========

变种:
【CISRT2007039】通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案
【CISRT2007040】通过MSN传播的IRCBot photo album.zip rdfhost.dll 解决方案
【CISRT2007044】通过MSN传播的IRCBot photo album.zip rdihost.dll 解决方案

病毒通过MSN传播,和之前的变种一样伪装成照片压缩包发送给MSN上的联系人,诱使联系人接收打开病毒。病毒通过ShellServiceObjectDelayLoad加载的启动方式也和之前变种相同。

病毒运行后在系统目录生成包含有自身副本的ZIP压缩文件:
%Windows%\photos.zip
其中包含的病毒副本文件名是photos album-2007-5-26.scr

释放一个dll文件注入进程:
%System%\syshosts.dll

在注册表创建ShellServiceObjectDelayLoad启动方式:
复制内容到剪贴板
代码:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"syshosts"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="syshosts.dll"
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:{B6E52B7E-4AF1-467F-9F8D-D087AFEBA89A}

向MSN联系人发送信息:
引用:
Here are my private pictures for you
Here are my pictures from my vacation
My friend took nice photos of me.you Should see em loL!
its only my photos!
Nice new photos of me and my friends and stuff and when i was young lol...
Nice new photos of me!! :p
Check out my sexy boobs :D
hey regarde mes tof!! :p
ma soeur a voulu que tu regarde ca!
hey regarde les tof, c'est moi et mes copains entrain de.... :D
j'ai fais pour toi ce photo album tu dois le voire :)
tu dois voire ces tof
mes photos chaudes :D
c'est seulement mes tof :p
zijn enige mijn foto's
wanna Hey ziet mijn nieuw fotoalbum?
Hey be
indigde enkel nieuw fotoalbum! :)
hey keurt mijn nieuw fotoalbum goed.. :p
het voor yah, doend beeldverhaal van mijn leven lol..
meine hei
en Fotos ! :p
le mie foto calde :p
mis fotos calientes
mi fotograf
as :p
Mi amigo tom
las fotos agradables de m
mis fotos calientes
el lol mi hermana quisiera que le enviara este
album de foto
同时将%Windows%\photos.zip发送给联系人。

病毒还会尝试连接远程IRC:www.free8.biz


清除步骤
==========

1. 删除病毒的启动方式:
复制内容到剪贴板
代码:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"syshosts"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
以及对应的:
复制内容到剪贴板
代码:
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="syshosts.dll"
2. 重新启动计算机

3. 删除病毒文件:
%Windows%\photos.zip
%System%\syshosts.dll



发布时间:2007-06-01 18:02
更新时间:2007-06-04 10:09
附件: 您所在的用户组无法下载或查看附件
海色の月
-----------------------------
amezhs@cisrt.org
amezhs@cisrt.com

http://www.cisrt.org
-----------------------------

TOP

发新话题