文件名称:devic.exe
文件大小:23304bytes
AV命名:(virustotal上仅卡吧一家报)Backdoor.Win32.SdBot.cok
加壳方式:未知
编写语言:VC
病毒类型:IRCbot
文件MD5:45de608d74ee4fb86b20da86dcbeb55c
行为分析:
1、释放病毒副本:
C:WINDOWSdevic.exe,23304字节
C:WINDOWSimg5-2007.zip,23456字节
2、添加注册表,开机启动:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
(注册表值)SystemDevic="devic.exe"
3、每隔5秒试探网络并连接韩国IRC服务器:irc.pNet.com,以随机命名和空密码用户登入。
4、可能会接受以下命令:
pB.Main->
pB.irc->
pB.Thread->
pB.wget->
pB.update->
pB.Spam-MSN->
pB.Botkiller->
pB.pStore->
pB.Visit->
pB.DDos->
5、往MSN好友发送病毒压缩包和以下随机一条:
Qu?ustedpiensadeestecuadro?
Consegu?anuevocuadrodem?latomaunamirada
algunoscuadrosdelasemanapasada,consideransiustedtienegustoenellos.
tieneustedvistoestepicuretodav
Haha,esqueusted?
Deboutilizarestecuadroenmsn?
Qu?ustedpiensaenesto?
WasdenkenSieandiese?
wasdenkenSieandiesespicure?ichglaube,da?ichh
lichschaue:/
sindhiereineneueAbbildungvonmir
einigeAbbildungenvonderletztenWoche,sehen,wennSiesiem
Haha,diesesindSieaufdieserAbbildung?
sollteichdieseAbbildungaufmsnbenutzen?
WasdenkenSieandieses?
Watdenktuaanditpicure?ikvindiklelijkkijk
Eenpaarbeeldenvanvorigeweek,zienofhoudtuhiervanemnieuwepicvanme.:)
Hebtuditpicurenoggezien?:p
Hebtuditpicurenoggezien?:p
Haha,bentudatopdatbeeld?:)
Zouikditbeeldopmsnmoetengebruiken?
Watdenktuoverdit?
quepensez-vous?cepicure?jemesensquejesemblelaid:/
Voiciunnouveaupicdemoi
Quelquesimagesdelasemainederni
e,voientsivouslesaimez
Avez-vousvucepicureencore?
Haha,est-vouscesurcetteimage?
Sij'emploientcetteimagesurlemsn?
Quepensez-vous?monimage?
:(:(:(:(
Here'sanewpicofme
Afewpicturesfromlastweek,seeifyoulikeem
:D:D:D::D
Haveyouseenthispicureyet?
Haha,isthatyouonthatpicture?
Shouldiusethispictureonmsn?
Whatdoyouthinkaboutthis?
另外那个img5-2007.zip,里面的病毒可能命名为:
www.photo5-2007-12.JPEG.com
img3-2007-12.JPEG.com
img2-2007-12.JPEG_www.images.com
img-2007-12.JPEG.scr
都是可执行程序,呵呵。
解决方法:
1、开始-运行-regedit。
2、展开到:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除这个项:SystemDevic。
3、重启电脑。
4、删除硬盘文件:
C:WINDOWSdevic.exe
C:WINDOWSimg5-2007.zip
另外有其他MSN蠕虫变种,上述方法无法清除的