廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 4492 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
hkc0972
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x1
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[問題討論] msn最近碰到朋友傳壓縮檔的檔案img137.zip
msn最近碰到朋友傳壓縮檔的檔案img137.zip
狀況是中毒的那台電腦msn完全失效
等於說不能正常的使用msn與其他人聊天
陸續會一直傳檔案給其他人也是一樣的壓縮檔同一支毒
不知道其他大大是否也遇過這種問題?
如何解決?


獻花 x0 回到頂端 [樓 主] From:臺灣中華HiNet | Posted:2007-08-23 08:17 |
御用神醫 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x3 鮮花 x27
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

目前卡巴斯基 可以掃除 掃描 C:\windows(XP) C:\winnt (2000)

會發現2隻木馬 一個可以直接刪除 另一個必須去工作管理員

處理程序 停用 再刪除 即可


獻花 x0 回到頂端 [1 樓] From:APNIC | Posted:2007-08-23 10:43 |
frank81825 手機
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x37 鮮花 x255
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

這是新的病毒喔
他會一直傳到你通訊錄裡的朋友
最後電腦會變慢喔
快刪掉


獻花 x0 回到頂端 [2 樓] From:臺灣 | Posted:2007-08-23 10:59 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

最近msn 病毒也越來越多的趨勢
光是只有壓縮檔的檔名 無法判斷為何毒
目前以 msn 照片病毒較為流行
可以由這方面去檢測


爸爸 你一路好走
獻花 x0 回到頂端 [3 樓] From:臺灣和信超媒體寬帶網 | Posted:2007-08-23 14:20 |
達人村惟祿 手機
個人文章 個人相簿 個人日記 個人地圖
社區建設獎 創作大師獎 特殊貢獻獎
小有名氣
級別: 小有名氣 該用戶目前不上站
推文 x21 鮮花 x616
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

檔案編號:CISRT2007150
病毒名稱:Backdoor.Win32.SdBot.blt(Kaspersky)
病毒別名:W32/Sdbot.worm(McAfee)
      Trojan.Win32.Agent.vrw(瑞星)
病毒大小:138,752 位元組
加殼方式
樣本MD5:5101877e880eae72419d17cef84ee9b9
樣本SHA1:adf5fb136ab1d6e150d1162affcadeb9f648e917
發現時間:2007.8
更新時間:2007.8
關聯病毒
傳播方式:通過MSN傳播


技術分析
==========

變種:
CISRT2007039】通過MSN傳播的IRCBot photo album.zip rdshost.dll 解決方案
CISRT2007040】通過MSN傳播的IRCBot photo album.zip rdfhost.dll 解決方案
CISRT2007044】通過MSN傳播的IRCBot photo album.zip rdihost.dll 解決方案
CISRT2007068】通過MSN傳播的IRCBot photos.zip syshosts.dll 解決方案
CISRT2007079】通過MSN傳播的IRCBot myalbum2007.zip sysprinters.dll 解決方案
CISRT2007101】通過MSN傳播的IRCBot notiffy.dll printers.exe 解決方案
CISRT2007102】通過MSN傳播的IRCBot firewallav.dll printers.exe 解決方案
CISRT2007103】通過MSN傳播的IRCBot images.zip rafba.dll 解決方案
CISRT2007104】通過MSN傳播的IRCBot images.zip winlog32.exe 解決方案
CISRT2007105】通過MSN傳播的IRCBot msn.exe libcintles3.dll 解決方案
CISRT2007106】通過MSN傳播的IRCBot msn.exe notice.dll 解決方案
CISRT2007107】通過MSN傳播的IRCBot intlprinters.exe libcintles3.dll 解決方案
CISRT2007109】通過MSN傳播的IRCBot printers.exe msn.dll 解決方案
CISRT2007110】通過MSN傳播的IRCBot libcinet.exe libwinets.dll 解決方案
CISRT2007111】通過MSN傳播的IRCBot msnmsg.exe pic.zip 解決方案
CISRT2007112】通過MSN傳播的IRCBot intlprinters.exe libcintle2.dll 解決方案
CISRT2007130】通過MSN傳播的IRCBot svchost.exe img1756.zip 解決方案
CISRT2007132】通過MSN傳播的IRCBot pics.zip s2.exe 解決方案
CISRT2007133】通過MSN傳播的 PictureAlbum2007.zip prodigys323.dll 解決方案
CISRT2007135】通過MSN傳播的IRCBot img807.zip vpcrtf.exe 解決方案
CISRT2007141】通過MSN傳播的IRCBot msnfix.exe libweb.dll 解決方案
CISRT2007146】通過MSN傳播的IRCBot IMG024.JPG.zip ehSched.exe 解決方案
CISRT2007148】通過MSN傳播的IRCBot myphotos2007.zip newsystem25.dll 解決方案
CISRT2007149】通過MSN傳播的IRCBot imgac157.zip winpo32.exe 解決方案

MSN蠕蟲變種,帶有偽裝JPG圖示,向MSN連絡人發送欺騙文字消息和帶毒壓縮包,當連絡人接收並打開帶毒壓縮包中的病毒檔時系統受到感染。

病毒運行後在系統目錄生成包含自身的帶毒ZIP壓縮包:
%Windows%\img317.zip
其中包含病毒檔案名為:img317.jpg-www.imagehosting.com

創建副本:
%Windows%\winsyshp.exe

創建啟動項:

複製程式
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Microsoft Visual Application"="winsyshp.exe"



使用批次處理c:\a.bat停止“安全中心”和“WINVNC”服務:

複製程式
@echo off 
net stop "Security Center" 
net stop winvnc4 
del c:\a.bat



向MSN連絡人發送以下文字,同時發送帶毒壓縮包imgac157.zip:

複製程式
Why is this picture blurry? 
Look @ my new car? 
Where did you find this picture? 
why did you show me this picture? 
look at my baby picture 
Did you see this? 
Where is this picture taken? 
Did you take this picture? 
you drunk 2 much in this picture 
Why are you naked in this picture? 
look @ this 
accept this picture 
hey, mom my just told me 2 show this 2 you



清除步驟
==========

1. 刪除病毒創建的啟動項:

執行 regedit 刪除下列登錄檔機碼

複製程式
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Microsoft Visual Application"="winsyshp.exe" 


2. 重新開機電腦

3. 刪除病毒檔:
嘗試連接遠端IRC:pwn.basecore.info

搜尋 整台電腦 img317.zip winsyshp.exe這兩個檔案

砍掉
%Windows%\img317.zip
%Windows%\winsyshp.exe


================================================

以上內容為轉貼 經過試驗 保證有效


[ 此文章被ntpu1020在2007-08-25 08:38重新編輯 ]

此文章被評分,最近評分記錄
財富:50 (by upside) | 理由: 感謝提供資訊 數位男女因你而豐富


獻花 x0 回到頂端 [4 樓] From:臺灣臺北市 | Posted:2007-08-25 08:22 |
hkc0972
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x1
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

樓上大大
你的方法我會請朋友試試看
多謝了


獻花 x0 回到頂端 [5 樓] From:臺灣中華HiNet | Posted:2007-08-25 20:59 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.022094 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言