|
 | 作者: 121121 [zl121121]
 论坛用户 |
登录 |
| 我之前中了这个病毒,虽然用雨过天晴电脑保护系统恢复了一下就好了,但是后来上网看到这个帖子,就转载来大家分享看看。最近貌似很流行,大家不妨看看。 以下内容摘自金山铁军blog: 昨天一朋友的MSN中招,发来个新的附件,附件为img807.zip,查看该压缩包,发现一完整文件名为img807.jpg-www.photoalbums.com,千万别双击哦。这是最新的MSN机器人病毒,病毒名为Win32.Troj.MsnBot.ce.86528。珠海引擎组的兄弟说,该病毒有利用MSN传播的代码,但是代码中并没有调用,因此不会象前几次MSN机器人病毒一样,不会引发大面积的传播。但同时,他提醒说,这个病毒有可能出现更新的版本。 该病毒主要会释放一个IRC后门,接受黑客远程指令。病毒会关闭windows 安全中心服务,在虚拟机中拒绝运行,以此逃避被部分反病毒业余爱好者检测分析。 以下是该病毒的详细分析报告: 1:拷贝自己与释放文件 病毒运行后,会把自己拷贝到系统目录下 %Windows%\\vpcrtf.exe 并加入一个zip头保存自己 %Windows%\\img807.zip 2:添加自启动 病毒会添加自启动 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run Microsoft Virsual Application = vpcrtf.exe 3:连接IRC 病毒会连接IRC,接受黑客指令 IRC地址为vpn.base****.info 接受指令: ERROR PRIVMSG KICK TOPIC 332 366 005 376 422 433 4:发送本机信息 病毒会尝试向IRC发送受感染机器的信息,如IP、机器名等。 5:关闭服务 病毒会关闭服务名为Security Center与 winvnc4的服务。 6:反虚拟机 病毒使用了利用了3种方法反虚拟机,当检测到虚拟机时就直接退出。 |
| 地主 发表时间: 07-09-18 14:23 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: MSN机器人新病毒解决方案