Happy2008.zip(又来...) 
2007-12-29 16:53:37
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://gudugengkekao.blog.51cto.com/172212/57271 |
文件名称:Happy2008-Card.com\Svchost.exe
文件大小:26014 byte
AV命名:(瑞星)Backdoor.Win32.PBot.b
加壳方式:未知
编写语言:VC
文件MD5:66951f5a5c5211d60b811c018a849f96
病毒类型:IRCBot
行为分析:
1、释放病毒副本:
C:\WINDOWS\Happy2008.zip 26148 字节(病毒压缩包)
C:\WINDOWS\svchost.exe 26014 字节
2、添加注册表,开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(注册表值) Windows svchost = "svchost.exe" 3、连接IRC服务器(随机命名ID连接):
irc.p***.com
加入以下频道:
#happy2008
#spam.msn
#bot.killer
4、查找包含“msnmsgr”字符串的进程,可能作为判断MSN是否在运行状态。
如发现MSN存在,则执行Message + Zip sent命令。
“Message”可能是下面的一条:
Check theese out, Christmas + New year!
Hey, have u seen these Christmas images? you gotta see this, me in my noughty santa suit!! :P New year + Christmas pictures! :D Happy new year xD! :D see Heeey :) <3 Check out theese New year photos! “Zip sent”毫无疑问就是Happy2008.zip
解决方法:
1、断开网络,关闭不需要的进程。
2、打开注册表(开始-运行-Regedit),展开到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除“Windows svchost ”键值。
(也可以用SREng删)
3、重启计算机,重启后删除硬盘文件:
C:\WINDOWS\Happy2008.zip 26148 字节(病毒压缩包)
C:\WINDOWS\svchost.exe 26014 字节
AD:如果上述方法无法清除或是有其他变种
   本文出自 “孤独更可靠” 博客,请务必保留此出处http://gudugengkekao.blog.51cto.com/172212/57271 本文出自 51CTO.COM技术博客 |
孤独更可靠
博客统计信息
热门文章
最新评论
友情链接