Win32.Hack.ShadowBot.a

病毒別名： 處理時間：2007-03-27 威脅級別：★

中文名稱： 病毒類型：黑客程式 影響系統：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

1、在如下路徑創建病毒自身的zip壓縮檔案：

%Windows%\photo album.zip

在如下路徑生成病毒檔案：

%system%\rdshost.dll

2、修改註冊表，添加如下鍵值：

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

rdshost="{E3D44709-5E78-462A-98AF-370D9A8F8D91}"

HKCR\CLSID\{E3D44709-5E78-462A-98AF-370D9A8F8D91}\InProcServer32

(Default)="rdshost.dll"

3、遍歷系統進程，尋找explorer.exe進程，找到後注入病毒代碼載入rdshost.dll病毒檔案。

4、rdshost.dll創建病毒執行緒，連線如下IRC伺服器，接受黑客命令：

5、通過MSN傳播,傳送以下內容迷惑用戶：

HEY lol i've done a new photo album !:) Second ill find file and send you it.

Hey wanna see my new photo album?

Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...

Hey just finished new photo album! :) might be a few nudes ;) lol...

hey you got a photo album? anyways heres my new photo album :) accept k?

hey man accept my new photo album.. :( made it for yah, been doing picture story of my life lol..