最近发现社区里很多人反映MSN不断转发文字:Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...
然后转发附件photo album.zip
在 C.I.S.R.T发现了他的临时解决方案 特转发过来
【CISRT2007039】通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案
档案编号:CISRT2007039
病毒名称:Backdoor.Win32.IRCBot.aaq(Kaspersky)
病毒别名:
病毒大小:18,944 字节
加壳方式:UPX
样本MD5:383fa8f31bc56113dbb9f5b7527a6d0d
样本SHA1:f325df3287eb51c69bd783590c168609bebefd1a
发现时间:2007.3
更新时间:2007.3
关联病毒:
传播方式:通过MSN传播
技术分析
==========
病毒通过MSN传播,文件名photo album.zip,包含病毒文件photo album2007.pif,病毒被运行后,复制自身到系统目录:
%Windows%\photo album.zip
另外释放一个dll文件注入Explorer.exe进程:
%System%\rdshost.dll
在注册表中创建ShellService
ObjectDelayLoad启动方式:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService
ObjectDelayLoad]
"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="rdshost.dll"
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不固定,如:{3CBAEB1E-422A-495D-A45F-5D9E10AACD4B}
向MSN好友发送信息:
QUOTE:
HEY lol i've done a new photo album !:) Second ill find file and send you it.
Hey wanna see my new photo album?
Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...
Hey just finished new photo album! :) might be a few nudes ;) lol...
hey you got a photo album? anyways heres my new photo album :) accept k?
hey man accept my new photo album.. :( made it for yah, been doing picture story of my life lol..
同时将%Windows%\photo album.zip发送过去。
连接的IRC:darkjester.xplosionirc.net
清除步骤
==========
1. 删除病毒的启动项:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService
ObjectDelayLoad]
"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="rdshost.dll"
2. 重新启动计算机
3. 删除病毒文件:
%Windows%\photo album.zip
%System%\rdshost.dll
另外通过sreng操作步骤如下
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService
ObjectDelayLoad下面的
<rdshost><rdshost.dll> []
键值
删除C:\WINDOWS\system32\rdshost.dll文件
和
C:\WINDOWS\photo album.zip
专杀下载地址
http://www.lofocus.com/MsnWormKill.exe
附件:
554345200733112001.jpg