【回复“tankk”的帖子】
压缩包删掉了,没法发上来
引用一下Coderui大侠的分析报告:
病毒英文名称:Worm/MSN.SendPhoto.x
病毒中文名称:性感相册
病毒 类型:蠕虫
危险 级别:★★
影响 平台:Win 9X/ME/NT/2000/XP/2003
添加了保护性比较强的加密型压缩壳(未知壳,本变种与上几个变种所添加的最外层壳略有改变),该壳解压完数据后会通过创建新线程的方式去动态解密病毒程序的输入表,病毒主程序线程停止5秒后退出,由壳创建的动态解密病毒程序输入表的线程去继续指定病毒程序体内的代码。
采用C++语言,由Microsoft Visual C++ 6.0 或 Microsoft Visual C++ 8.0编译器编写而成。
病毒脱壳后的程序真正入口点地址为:00007A54
脱壳前文件大小为:26,014 字节
脱壳后文件大小为:338,432 字节
病毒自我复制保存路径:
C:\windows\svchost.exe->(属性设置为:只读、隐藏、存档)
创建生成保存压缩包的路径:
C:\windows\Happy2008.zip->(文件大小为:26,148 字节)
病毒运行后,在被感染计算机系统的后台与骇客服务器IP地址:211.115.112.76,端口:81,进行对话式数据通信。
主要功能是:接受通过骇客服务器事先定义好的指令,然后执行相应的操作,被感染计算机会被骇客所控制,用户计算机中的信息资料不再安全,最终成为僵尸网络。
骇客会利用这些已经规划好的不同地区的被控制计算机进行地域试传播网游木马,盗取不同国家的网络游戏帐号。
还可以利用不同地域和不同服务器(网通、电信等)的傀儡主机进行大面积分布式DDOS拒绝服务攻击。
下载病毒更新程序或其它病毒(根据操作系统版本和语言的不同,可能地址也不同),因为目前该变种为最新版本,所以骇客服务器没有返回恶意程序的下载地址。
自动判断操作系统版本和语言,自动下载不同版本的新变种病毒。
通过MSN发送的诱惑信息:
Check theese out, Christmas + New year!
Hey, have u seen these Christmas images?
you gotta see this, me in my noughty santa suit!! :P
New year + Christmas pictures! :D
Happy new year xD! :D see
Heeey :) <3 Check out theese New year photos!
通过MSN发送的压缩包文件:
\Happy2008.zip->(文件大小为:26,148 字节)
压缩包中的病毒文件名:
Happy2008-Card.com->(解压后文件大小为:26,014 字节)
病毒注册表启动项:
HKEY_LOCAL_MACHINE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
启动项键名:
happy2008
启动项病毒文件路径:
C:\windows\msmsgrsu.exe
创建批处理功能:
@echo off
:Repeat
del "%s">nul
if exist "%s" goto Repeat
del "%%0"
@echo off
:Repeat
del "%s">nul
ping 0.0.0.0>nul
if exist "%s" goto Repeat
del "%%0"
%s\l0l0l0l0%i%i%i%i.bat
