檔案編號:CISRT2007150
病毒名稱:Backdoor.Win32.SdBot.blt(Kaspersky)
病毒別名:W32/Sdbot.worm(McAfee)
Trojan.Win32.Agent.vrw(瑞星)
病毒大小:138,752 位元組
加殼方式:
樣本MD5:5101877e880eae72419d17cef84ee9b9
樣本SHA1:adf5fb136ab1d6e150d1162affcadeb9f648e917
發現時間:2007.8
更新時間:2007.8
關聯病毒:
傳播方式:通過MSN傳播
技術分析 ==========
變種:
【CISRT2007039】通過MSN傳播的IRCBot photo album.zip rdshost.dll 解決方案 【CISRT2007040】通過MSN傳播的IRCBot photo album.zip rdfhost.dll 解決方案 【CISRT2007044】通過MSN傳播的IRCBot photo album.zip rdihost.dll 解決方案 【CISRT2007068】通過MSN傳播的IRCBot photos.zip syshosts.dll 解決方案 【CISRT2007079】通過MSN傳播的IRCBot myalbum2007.zip sysprinters.dll 解決方案 【CISRT2007101】通過MSN傳播的IRCBot notiffy.dll printers.exe 解決方案 【CISRT2007102】通過MSN傳播的IRCBot firewallav.dll printers.exe 解決方案 【CISRT2007103】通過MSN傳播的IRCBot images.zip rafba.dll 解決方案 【CISRT2007104】通過MSN傳播的IRCBot images.zip winlog32.exe 解決方案 【CISRT2007105】通過MSN傳播的IRCBot msn.exe libcintles3.dll 解決方案 【CISRT2007106】通過MSN傳播的IRCBot msn.exe notice.dll 解決方案 【CISRT2007107】通過MSN傳播的IRCBot intlprinters.exe libcintles3.dll 解決方案 【CISRT2007109】通過MSN傳播的IRCBot printers.exe msn.dll 解決方案 【CISRT2007110】通過MSN傳播的IRCBot libcinet.exe libwinets.dll 解決方案 【CISRT2007111】通過MSN傳播的IRCBot msnmsg.exe pic.zip 解決方案 【CISRT2007112】通過MSN傳播的IRCBot intlprinters.exe libcintle2.dll 解決方案 【CISRT2007130】通過MSN傳播的IRCBot svchost.exe img1756.zip 解決方案 【CISRT2007132】通過MSN傳播的IRCBot pics.zip s2.exe 解決方案 【CISRT2007133】通過MSN傳播的 PictureAlbum2007.zip prodigys323.dll 解決方案 【CISRT2007135】通過MSN傳播的IRCBot img807.zip vpcrtf.exe 解決方案 【CISRT2007141】通過MSN傳播的IRCBot msnfix.exe libweb.dll 解決方案 【CISRT2007146】通過MSN傳播的IRCBot IMG024.JPG.zip ehSched.exe 解決方案 【CISRT2007148】通過MSN傳播的IRCBot myphotos2007.zip newsystem25.dll 解決方案 【CISRT2007149】通過MSN傳播的IRCBot imgac157.zip winpo32.exe 解決方案 MSN蠕蟲變種,帶有偽裝JPG圖示,向MSN連絡人發送欺騙文字消息和帶毒壓縮包,當連絡人接收並打開帶毒壓縮包中的病毒檔時系統受到感染。
病毒運行後在系統目錄生成包含自身的帶毒ZIP壓縮包:
%Windows%\img317.zip 其中包含病毒檔案名為:img317.jpg-www.imagehosting.com
創建副本:
%Windows%\winsyshp.exe 創建啟動項:
複製程式
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Visual Application"="winsyshp.exe"
使用批次處理c:\a.bat停止“安全中心”和“WINVNC”服務:
複製程式
@echo off
net stop "Security Center"
net stop winvnc4
del c:\a.bat
向MSN連絡人發送以下文字,同時發送帶毒壓縮包imgac157.zip:
複製程式
Why is this picture blurry?
Look @ my new car?
Where did you find this picture?
why did you show me this picture?
look at my baby picture
Did you see this?
Where is this picture taken?
Did you take this picture?
you drunk 2 much in this picture
Why are you naked in this picture?
look @ this
accept this picture
hey, mom my just told me 2 show this 2 you
清除步驟 ==========
1. 刪除病毒創建的啟動項:
執行 regedit 刪除下列登錄檔機碼 複製程式
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Visual Application"="winsyshp.exe"
2. 重新開機電腦
3. 刪除病毒檔:嘗試連接遠端IRC:pwn.basecore.info
搜尋 整台電腦 img317.zip winsyshp.exe這兩個檔案 砍掉%Windows%\img317.zip
%Windows%\winsyshp.exe
================================================
以上內容為轉貼 經過試驗 保證有效