声振论坛

 找回密码
 我要加入

QQ登录

只需一步,快速开始

查看: 2161|回复: 1

[科研工具] MSN机器人新病毒解决方案

[复制链接]
发表于 2007-8-28 10:11 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?我要加入

x
我之前中了这个病毒,用雨过天晴电脑保护系统恢复了一下就好了,后来上网看到这个帖子,就转载来大家分享看看。最近貌似很流行,大家不妨看看。
以下内容摘自金山铁军blog
昨天一朋友的MSN中招,发来个新的附件,附件为img807.zip,查看该压缩包,发现一完整文件名为img807.jpg-www.photoalbums.com,千万别双击哦。这是最新的MSN机器人病毒,病毒名为Win32.Troj.MsnBot.ce.86528。珠海引擎组的兄弟说,该病毒有利用MSN传播的代码,但是代码中并没有调用,因此不会象前几次MSN机器人病毒一样,不会引发大面积的传播。但同时,他提醒说,这个病毒有可能出现更新的版本。
该病毒主要会释放一个IRC后门,接受黑客远程指令。病毒会关闭windows 安全中心服务,在虚拟机中拒绝运行,以此逃避被部分反病毒业余爱好者检测分析。
以下是该病毒的详细分析报告:

1
:拷贝自己与释放文件
病毒运行后,会把自己拷贝到系统目录下
%Windows%\\vpcrtf.exe
并加入一个zip头保存自己
%Windows%\\img807.zip

2
:添加自启动
病毒会添加自启动
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
Microsoft Virsual Application = vpcrtf.exe

3
:连接IRC
病毒会连接IRC,接受黑客指令
IRC
地址为vpn.base****.info
接受指令:
ERROR
PRIVMSG
KICK
TOPIC
332
366
005
376
422
433

4
:发送本机信息
病毒会尝试向IRC发送受感染机器的信息,如IP、机器名等。

5
:关闭服务
病毒会关闭服务名为Security Center winvnc4的服务。

6
:反虚拟机
病毒使用了利用了3种方法反虚拟机,当检测到虚拟机时就直接退出。
回复
分享到:

使用道具 举报

发表于 2007-8-30 08:28 | 显示全部楼层
不清楚的邮件 文件 不打开
您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

QQ|小黑屋|Archiver|手机版|联系我们|声振论坛

GMT+8, 2024-11-25 00:54 , Processed in 0.054670 second(s), 18 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表