MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决_病毒查杀教程-查字典教程网
MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决
MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决
发布时间:2016-12-26 来源:查字典编辑
摘要:文件名称:devic.exe文件大小:23304bytesAV命名:(virustotal上仅卡吧一家报)Backdoor.Win32.Sd...

文件名称:devic.exe

文件大小:23304bytes

AV命名:(virustotal上仅卡吧一家报)Backdoor.Win32.SdBot.cok

加壳方式:未知

编写语言:VC

病毒类型:IRCbot

文件MD5:45de608d74ee4fb86b20da86dcbeb55c

行为分析:

1、释放病毒副本:

C:WINDOWSdevic.exe,23304字节

C:WINDOWSimg5-2007.zip,23456字节

2、添加注册表,开机启动:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

(注册表值)SystemDevic="devic.exe"

3、每隔5秒试探网络并连接韩国IRC服务器:irc.pNet.com,以随机命名和空密码用户登入。

4、可能会接受以下命令:

pB.Main->

pB.irc->

pB.Thread->

pB.wget->

pB.update->

pB.Spam-MSN->

pB.Botkiller->

pB.pStore->

pB.Visit->

pB.DDos->

5、往MSN好友发送病毒压缩包和以下随机一条:

Qu?ustedpiensadeestecuadro?

Consegu?anuevocuadrodem?latomaunamirada

algunoscuadrosdelasemanapasada,consideransiustedtienegustoenellos.

tieneustedvistoestepicuretodav

Haha,esqueusted?

Deboutilizarestecuadroenmsn?

Qu?ustedpiensaenesto?

WasdenkenSieandiese?

wasdenkenSieandiesespicure?ichglaube,da?ichh

lichschaue:/

sindhiereineneueAbbildungvonmir

einigeAbbildungenvonderletztenWoche,sehen,wennSiesiem

Haha,diesesindSieaufdieserAbbildung?

sollteichdieseAbbildungaufmsnbenutzen?

WasdenkenSieandieses?

Watdenktuaanditpicure?ikvindiklelijkkijk

Eenpaarbeeldenvanvorigeweek,zienofhoudtuhiervanemnieuwepicvanme.:)

Hebtuditpicurenoggezien?:p

Hebtuditpicurenoggezien?:p

Haha,bentudatopdatbeeld?:)

Zouikditbeeldopmsnmoetengebruiken?

Watdenktuoverdit?

quepensez-vous?cepicure?jemesensquejesemblelaid:/

Voiciunnouveaupicdemoi

Quelquesimagesdelasemainederni

e,voientsivouslesaimez

Avez-vousvucepicureencore?

Haha,est-vouscesurcetteimage?

Sij'emploientcetteimagesurlemsn?

Quepensez-vous?monimage?

:(:(:(:(

Here'sanewpicofme

Afewpicturesfromlastweek,seeifyoulikeem

:D:D:D::D

Haveyouseenthispicureyet?

Haha,isthatyouonthatpicture?

Shouldiusethispictureonmsn?

Whatdoyouthinkaboutthis?

另外那个img5-2007.zip,里面的病毒可能命名为:

www.photo5-2007-12.JPEG.com

img3-2007-12.JPEG.com

img2-2007-12.JPEG_www.images.com

img-2007-12.JPEG.scr

都是可执行程序,呵呵。

解决方法:

1、开始-运行-regedit。

2、展开到:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除这个项:SystemDevic。

3、重启电脑。

4、删除硬盘文件:

C:WINDOWSdevic.exe

C:WINDOWSimg5-2007.zip

另外有其他MSN蠕虫变种,上述方法无法清除的

相关阅读
推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
  • 大家都在看
  • 小编推荐
  • 猜你喜欢
  • 最新病毒查杀学习
    热门病毒查杀学习
    实用技巧子分类