病毒挂在shell进程中,随机向联系人发消息,附件企图伪装成一个img文件,千万别上当。新变种会用汉语拼音发送文本信息,比如:
NI HE WO !!! .... QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN :o !!
'YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
|
带一个zip包的附件。
这个病毒会在
Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
|
添加键值,键值在这个里面。 可能有新版DLL名会变,但可以在这个键值下找到,没有版本信息。
清除办法:
手动解决比较简单,只需要先结束explorer(资源管理器)进程,再找到这个DLL,删除就行。或者使用金山清理专家,彻底删除这个DLL,再重启,问题就解决了。
以下是MSN机器人的详细分析
病毒名:Win32.Troj.MsnBot.ac.116736
1.拷贝释放文件
病毒运行后,会把自己拷贝到系统目录中
%system%\explorer.exe
并释放一个dll文件
%system%\libcintles3.dll (Win32.Troj.MsnBot.ac.331728)
2.加载启动项
病毒会把DLL加载到注册表中自启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
|
3.传播
病毒寻找MSN的窗口,并尝试本机区域设定,发送相应的语言的问候语,之后把自身附加在问候语之后,病毒自带的问候语有以下几种语言:
英语
法语
西班牙语
意大利语
荷兰语
中文
瑞士语
德语
|
如中文的问候语有以下:
NI HE WO !!! .... QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN :o !!
'YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
|
病毒附加的文件名如下:
images**.zip
new images**.zip
album**.zip
new album**.zip
|
(*为随机数字)
对方一但运行就会受到病毒感染。
4.连接远程机器
病毒会连接远程IRC,发送受感染机的情况,地址为 john.*****people.net。
(责任编辑:李磊)
