IRCBot G038_jpg.zip CDSpeed.exe是一款套用軟體,病毒大小為435,200 位元組。
基本介紹
- 外文名:IRCBot G038_jpg.zip CDSpeed.exe
- 發現時間:2007.8
- 病毒大小:435,200 位元組
- 更新時間:2007.8
基本信息,傳播過程,
基本信息
病毒名稱:Backdoor.Win32.IRCBot.aex(Kaspersky)
病毒別名:
加殼方式:
樣本MD5:3ede1801994c59b35b96aac2b13852d1
樣本SHA1:6ad5556368fe3e497b84e0670d43b948cf7cc1cb
關聯病毒:
傳播過程
通過MSN傳播 字串8
技術分析
==========
字串9
MSN蠕蟲變種,根據系統語言向MSN聯.系人傳送誘惑文字訊息和帶毒壓縮檔,當聯繫人接收並打開帶毒壓縮檔中的病毒檔案時系統受
字串5
到感染。
字串8
病毒運行後在系統目錄生成包含自身的帶毒ZIP壓縮檔:
%Windows%\G038_jpg.zip
其中包含病毒.檔案名稱為:www.G038_jpg-msn.com 字串2
創建副本:
%Windows%\CDSpeed.exe
字串7
創建啟動項: 字串2
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CDSpeed.exe"="%Windows%\CDSpeed.exe"
修改註冊表關閉.系統檔案保護:
字串1
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:ffffff9d
"SFCScan"=dword:00000000
更改自動關閉.進程等待時間:
字串9
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="7000"
破壞FTP程式檔案:
%System%\tftp.exe
%System%\dllcache\tftp.exe
%System%\ftp.exe
%System%\dllcache\ftp.exe
原正常程式複製到:
%System%\microsoft\backup.tftp
