广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 4513 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
hkc0972
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x1
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[问题讨论] msn最近碰到朋友传压缩档的档案img137.zip
msn最近碰到朋友传压缩档的档案img137.zip
状况是中毒的那台电脑msn完全失效
等于说不能正常的使用msn与其他人聊天
陆续会一直传档案给其他人也是一样的压缩档同一支毒
不知道其他大大是否也遇过这种问题?
如何解决?


献花 x0 回到顶端 [楼 主] From:台湾中华HiNet | Posted:2007-08-23 08:17 |
御用神医 手机
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x3 鲜花 x27
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

目前卡巴斯基 可以扫除 扫描 C:\windows(XP) C:\winnt (2000)

会发现2只木马 一个可以直接删除 另一个必须去工作管理员

处理程序 停用 再删除 即可


献花 x0 回到顶端 [1 楼] From:APNIC | Posted:2007-08-23 10:43 |
frank81825 手机
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x37 鲜花 x255
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

这是新的病毒喔
他会一直传到你通讯录里的朋友
最后电脑会变慢喔
快删掉


献花 x0 回到顶端 [2 楼] From:台湾 | Posted:2007-08-23 10:59 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

最近msn 病毒也越来越多的趋势
光是只有压缩档的档名 无法判断为何毒
目前以 msn 照片病毒较为流行
可以由这方面去检测


爸爸 你一路好走
献花 x0 回到顶端 [3 楼] From:台湾和信超媒体宽带网 | Posted:2007-08-23 14:20 |
达人村惟禄 手机
个人文章 个人相簿 个人日记 个人地图
社区建设奖 创作大师奖 特殊贡献奖
小有名气
级别: 小有名气 该用户目前不上站
推文 x21 鲜花 x616
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

档案编号:CISRT2007150
病毒名称:Backdoor.Win32.SdBot.blt(Kaspersky)
病毒别名:W32/Sdbot.worm(McAfee)
      Trojan.Win32.Agent.vrw(瑞星)
病毒大小:138,752 位元组
加壳方式
样本MD5:5101877e880eae72419d17cef84ee9b9
样本SHA1:adf5fb136ab1d6e150d1162affcadeb9f648e917
发现时间:2007.8
更新时间:2007.8
关联病毒
传播方式:通过MSN传播


技术分析
==========

变种:
CISRT2007039】通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案
CISRT2007040】通过MSN传播的IRCBot photo album.zip rdfhost.dll 解决方案
CISRT2007044】通过MSN传播的IRCBot photo album.zip rdihost.dll 解决方案
CISRT2007068】通过MSN传播的IRCBot photos.zip syshosts.dll 解决方案
CISRT2007079】通过MSN传播的IRCBot myalbum2007.zip sysprinters.dll 解决方案
CISRT2007101】通过MSN传播的IRCBot notiffy.dll printers.exe 解决方案
CISRT2007102】通过MSN传播的IRCBot firewallav.dll printers.exe 解决方案
CISRT2007103】通过MSN传播的IRCBot images.zip rafba.dll 解决方案
CISRT2007104】通过MSN传播的IRCBot images.zip winlog32.exe 解决方案
CISRT2007105】通过MSN传播的IRCBot msn.exe libcintles3.dll 解决方案
CISRT2007106】通过MSN传播的IRCBot msn.exe notice.dll 解决方案
CISRT2007107】通过MSN传播的IRCBot intlprinters.exe libcintles3.dll 解决方案
CISRT2007109】通过MSN传播的IRCBot printers.exe msn.dll 解决方案
CISRT2007110】通过MSN传播的IRCBot libcinet.exe libwinets.dll 解决方案
CISRT2007111】通过MSN传播的IRCBot msnmsg.exe pic.zip 解决方案
CISRT2007112】通过MSN传播的IRCBot intlprinters.exe libcintle2.dll 解决方案
CISRT2007130】通过MSN传播的IRCBot svchost.exe img1756.zip 解决方案
CISRT2007132】通过MSN传播的IRCBot pics.zip s2.exe 解决方案
CISRT2007133】通过MSN传播的 PictureAlbum2007.zip prodigys323.dll 解决方案
CISRT2007135】通过MSN传播的IRCBot img807.zip vpcrtf.exe 解决方案
CISRT2007141】通过MSN传播的IRCBot msnfix.exe libweb.dll 解决方案
CISRT2007146】通过MSN传播的IRCBot IMG024.JPG.zip ehSched.exe 解决方案
CISRT2007148】通过MSN传播的IRCBot myphotos2007.zip newsystem25.dll 解决方案
CISRT2007149】通过MSN传播的IRCBot imgac157.zip winpo32.exe 解决方案

MSN蠕虫变种,带有伪装JPG图示,向MSN连络人发送欺骗文字消息和带毒压缩包,当连络人接收并打开带毒压缩包中的病毒档时系统受到感染。

病毒运行后在系统目录生成包含自身的带毒ZIP压缩包:
%Windows%\img317.zip
其中包含病毒档案名为:img317.jpg-www.imagehosting.com

创建副本:
%Windows%\winsyshp.exe

创建启动项:

复制程式
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Microsoft Visual Application"="winsyshp.exe"



使用批次处理c:\a.bat停止“安全中心”和“WINVNC”服务:

复制程式
@echo off 
net stop "Security Center" 
net stop winvnc4 
del c:\a.bat



向MSN连络人发送以下文字,同时发送带毒压缩包imgac157.zip:

复制程式
Why is this picture blurry? 
Look @ my new car? 
Where did you find this picture? 
why did you show me this picture? 
look at my baby picture 
Did you see this? 
Where is this picture taken? 
Did you take this picture? 
you drunk 2 much in this picture 
Why are you naked in this picture? 
look @ this 
accept this picture 
hey, mom my just told me 2 show this 2 you



清除步骤
==========

1. 删除病毒创建的启动项:

执行 regedit 删除下列登录档机码

复制程式
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Microsoft Visual Application"="winsyshp.exe" 


2. 重新开机电脑

3. 删除病毒档:
尝试连接远端IRC:pwn.basecore.info

搜寻 整台电脑 img317.zip winsyshp.exe这两个档案

砍掉
%Windows%\img317.zip
%Windows%\winsyshp.exe


================================================

以上内容为转贴 经过试验 保证有效


[ 此文章被ntpu1020在2007-08-25 08:38重新编辑 ]

此文章被评分,最近评分记录
财富:50 (by upside) | 理由: 感谢提供资讯 数位男女因你而丰富


献花 x0 回到顶端 [4 楼] From:台湾台北市 | Posted:2007-08-25 08:22 |
hkc0972
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x1
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

楼上大大
你的方法我会请朋友试试看
多谢了


献花 x0 回到顶端 [5 楼] From:台湾中华HiNet | Posted:2007-08-25 20:59 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.072523 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言