档案编号:CISRT2007150
病毒名称:Backdoor.Win32.SdBot.blt(Kaspersky)
病毒别名:W32/Sdbot.worm(McAfee)
Trojan.Win32.Agent.vrw(瑞星)
病毒大小:138,752 位元组
加壳方式:
样本MD5:5101877e880eae72419d17cef84ee9b9
样本SHA1:adf5fb136ab1d6e150d1162affcadeb9f648e917
发现时间:2007.8
更新时间:2007.8
关联病毒:
传播方式:通过MSN传播
技术分析 ==========
变种:
【CISRT2007039】通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案 【CISRT2007040】通过MSN传播的IRCBot photo album.zip rdfhost.dll 解决方案 【CISRT2007044】通过MSN传播的IRCBot photo album.zip rdihost.dll 解决方案 【CISRT2007068】通过MSN传播的IRCBot photos.zip syshosts.dll 解决方案 【CISRT2007079】通过MSN传播的IRCBot myalbum2007.zip sysprinters.dll 解决方案 【CISRT2007101】通过MSN传播的IRCBot notiffy.dll printers.exe 解决方案 【CISRT2007102】通过MSN传播的IRCBot firewallav.dll printers.exe 解决方案 【CISRT2007103】通过MSN传播的IRCBot images.zip rafba.dll 解决方案 【CISRT2007104】通过MSN传播的IRCBot images.zip winlog32.exe 解决方案 【CISRT2007105】通过MSN传播的IRCBot msn.exe libcintles3.dll 解决方案 【CISRT2007106】通过MSN传播的IRCBot msn.exe notice.dll 解决方案 【CISRT2007107】通过MSN传播的IRCBot intlprinters.exe libcintles3.dll 解决方案 【CISRT2007109】通过MSN传播的IRCBot printers.exe msn.dll 解决方案 【CISRT2007110】通过MSN传播的IRCBot libcinet.exe libwinets.dll 解决方案 【CISRT2007111】通过MSN传播的IRCBot msnmsg.exe pic.zip 解决方案 【CISRT2007112】通过MSN传播的IRCBot intlprinters.exe libcintle2.dll 解决方案 【CISRT2007130】通过MSN传播的IRCBot svchost.exe img1756.zip 解决方案 【CISRT2007132】通过MSN传播的IRCBot pics.zip s2.exe 解决方案 【CISRT2007133】通过MSN传播的 PictureAlbum2007.zip prodigys323.dll 解决方案 【CISRT2007135】通过MSN传播的IRCBot img807.zip vpcrtf.exe 解决方案 【CISRT2007141】通过MSN传播的IRCBot msnfix.exe libweb.dll 解决方案 【CISRT2007146】通过MSN传播的IRCBot IMG024.JPG.zip ehSched.exe 解决方案 【CISRT2007148】通过MSN传播的IRCBot myphotos2007.zip newsystem25.dll 解决方案 【CISRT2007149】通过MSN传播的IRCBot imgac157.zip winpo32.exe 解决方案 MSN蠕虫变种,带有伪装JPG图示,向MSN连络人发送欺骗文字消息和带毒压缩包,当连络人接收并打开带毒压缩包中的病毒档时系统受到感染。
病毒运行后在系统目录生成包含自身的带毒ZIP压缩包:
%Windows%\img317.zip 其中包含病毒档案名为:img317.jpg-www.imagehosting.com
创建副本:
%Windows%\winsyshp.exe 创建启动项:
复制程式
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Visual Application"="winsyshp.exe"
使用批次处理c:\a.bat停止“安全中心”和“WINVNC”服务:
复制程式
@echo off
net stop "Security Center"
net stop winvnc4
del c:\a.bat
向MSN连络人发送以下文字,同时发送带毒压缩包imgac157.zip:
复制程式
Why is this picture blurry?
Look @ my new car?
Where did you find this picture?
why did you show me this picture?
look at my baby picture
Did you see this?
Where is this picture taken?
Did you take this picture?
you drunk 2 much in this picture
Why are you naked in this picture?
look @ this
accept this picture
hey, mom my just told me 2 show this 2 you
清除步骤 ==========
1. 删除病毒创建的启动项:
执行 regedit 删除下列登录档机码 复制程式
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Visual Application"="winsyshp.exe"
2. 重新开机电脑
3. 删除病毒档:尝试连接远端IRC:pwn.basecore.info
搜寻 整台电脑 img317.zip winsyshp.exe这两个档案 砍掉%Windows%\img317.zip
%Windows%\winsyshp.exe
================================================
以上内容为转贴 经过试验 保证有效