不是執行檔。通過抓包分析,應該是根據裡面記錄的一些網站進行攻擊。
基本介紹
- 中文名:Backdoor.Win32.IRCBot.acd
- 檔案大小:116736 byte
- 病毒類型:後門(IRC)
- 編寫語言:Borland Delphi 6.0 - 7.0
基本信息,傳播過程,
基本信息
檔案名稱稱:album11.scr
字串7
加殼方式:Ntkrnl protector 字串8
字串7
字串5
檔案MD5:EF5B233300CF8F9C3C9B0A861111EC8D
字串8
檔案SHA1:33388AD6BFAB9BE01E4754AC482098E142BF395C
字串1
傳播方式:MSN、網路。 字串5
傳播過程
1、釋放病毒檔案:
字串8
注意!可能檔案名稱不一樣。
字串2
%Systemroot%\system32\libcintles3.dll 26000 位元組
字串5
字串5
%Systemroot%為:C:\Winnt(2000、ME系統) C:\Windows(XP、2003) 字串3
2、libcintles3.dll 注入Explorer進程,檢測MSN視窗,嘗試傳送病毒副本和一些誘人的語言(未實現)
字串7
(接收並運行病毒檔案的MSN好友則成為新的傳播體``) 字串4
3、連線遠程IRC伺服器(89.188.16.60)等待黑客命令(穿防火牆),從而淪落為肉機。 字串1
C:\Program Files\MSN Messenger\msnmsgr.exe
字串9
5、連線IRC伺服器下載檔案: 字串1
C:\Documents and Settings\administrator\qndqoh.exe 5548 位元組 字串4
C:\Documents and Settings\administrator\cfqxuk.exe 5548 位元組
字串1
(檔案名稱不固定) 字串5
字串6
HKEY_CLASSES_ROOT\CLSID\\InProcServer32\
REG_SZ, "libcintles3.dll " 字串8
注意,可能不一樣。
字串5
實現開機注入進程。
字串4
還有個: 字串9
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\printers 字串8
指向的是
字串4
呵呵,比較隱蔽。以前的MSN蠕蟲貌似沒有添加這個。
字串9
字串4
解決方法: 字串9
推薦:去網上查找下MSN蠕蟲專殺吧``比較省事`` =。=
字串5
手工清除: 字串2
http://free.ys168.com/?gudugengkekao下載: 字串3
sreng2.5.zip 780KB 字串6
直接放桌面,斷開網路。 字串9
字串5
(注意變通,檔案名稱不固定的) 字串3
%Systemroot%\system32\libcintles3.dll 26000 位元組
字串9
%Systemroot%\system32\msn.exe 116736 位元組 字串2
%Systemroot%為:C:\Winnt(2000、ME系統) C:\Windows(XP、2003)
字串2
字串5
C:\Documents and Settings\administrator\qndqoh.exe 5548 位元組 字串3
C:\Documents and Settings\administrator\cfqxuk.exe 5548 位元組 字串7
注意,檔案名稱可能不固定,注意看檔案大小。 字串8
還有administrator用戶名不固定。。以你當前用戶名為準。
字串4
3、設定冰刃,重啟並監視。 字串4
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
字串3
<printers><libcintles3.dll> [] 字串2
