通過MSN傳播的IRCBot X_0005_jpg.zip mono.exe 解決方案
病毒名稱:Backdoor.Win32.SdBot.bzf(Kaspersky)
病毒別名:Backdoor.Win32.SdBot.orv(瑞星)
Win32.Hack.SdBot.388096(毒霸)
病毒大小:388,096 位元組
加殼方式:
樣本MD5:283ae3d75b6fa817652f6e58d2ee9d84
樣本SHA1:de770698c8ce7160f1373185cdbb0ace9675d0b2
發現時間:2007.9
更新時間:2007.9
關聯病毒:
傳播方式:通過MSN傳播
字串4
技術分析:
字串3
MSN蠕蟲變種,根據系統語言向MSN聯繫人傳送誘惑文字訊息和帶毒壓縮檔,當聯繫人接收並打開帶毒壓縮檔中的病毒檔案時系統受到感染。 字串2
病毒運行後在系統目錄生成包含自身的帶毒ZIP壓縮檔:
%Windows%\X_0005_jpg.zip
其中包含病毒檔案名稱為:www.X_0005_jpg-msn.com
字串9
創建副本:
%Windows%\mono.exe
字串9
創建啟動項:
字串9
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mono.exe"="%Windows%\mono.exe"
修改註冊表關閉系統檔案保護:
字串3
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:ffffff9d
"SFCScan"=dword:00000000
更改自動關閉進程等待時間:
字串5
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="7000"
破壞FTP程式檔案:
%System%\tftp.exe
%System%\dllcache\tftp.exe
%System%\ftp.exe
%System%\dllcache\ftp.exe
原正常程式複製到: