close

剛剛msn上線後 一個很久很久沒有哈拉的網友
突然丟我msn 而且還講英文
那就算了 講完立刻丟一個檔案要我接收
當下就覺得~~~有鬼
果然上網查了一下 是新的病毒


請各位小心 如果你的朋友突然丟了一個檔案叫做imgac157.zip的檔案給你


百萬千萬億萬~不要去接收他啊 不然就會很快樂了




以下資訊轉載自網路

解決方法:
病毒掛在shell進程中,隨機向聯繫人發消息,附件企圖偽裝成一個img文件,千萬別上當哦。新變種會用漢語拼音發送文本信息,比如:


QUOTE:
NI HE WO !!! .... QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN !!
'YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN !!
ZHE SHI WO DE LUOZHAO QING BU YAO FA GEI BIEREN !!


帶一個zip包的附件。

這個病毒會在


QUOTE:
Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad


添加鍵值,鍵值在這個裡面。 可能有新版DLL名會變,但可以在這個鍵值下找到,沒有版本信息。

清除辦法:

手動解決比較簡單,只需要先結束explorer(資源管理器)進程,再找到這個DLL,刪除就行。或者使用金山清理專家,徹底刪除這個DLL,再重啟,問題就解決了。

以下是MSN機器人的詳細分析

病毒名:Win32.Troj.MsnBot.ac.116736

1.拷貝釋放文件

病毒運行後,會把自己拷貝到系統目錄中

%system%\explorer.exe

並釋放一個dll文件

%system%\libcintles3.dll (Win32.Troj.MsnBot.ac.331728)

2.加載啟動項

病毒會把DLL加載到註冊表中自啟動


QUOTE:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad


3.傳播

病毒尋找MSN的窗口,並嘗試本機區域設定,發送相應的語言的問候語,之後把自身附加在問候語之後,病毒自帶的問候語有以下幾種語言:


QUOTE:
英語
法語
西班牙語
意大利語
荷蘭語
中文
瑞士語
德語


如中文的問候語有以下:


QUOTE:
NI HE WO !!! .... QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN !!
'YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN !!
ZHE SHI WO DE LUOZHAO QING BU YAO FA GEI BIEREN !!


病毒附加的文件名如下:


QUOTE:
images**.zip
new images**.zip
album**.zip
new album**.zip
(*為隨機數字)


對方一但運行就會受到病毒感染。

4.連接遠程機器

病毒會連接遠程IRC,發送受感染機的情況,地址為 john.*****people.net

來源:賽迪網 作者:李鐵軍

解決方法

開機時按F8 進入安全模式
search winpo32.exe以及search imgac157.zip
然後將搜尋到的東西全部砍掉 重新開機
arrow
arrow
    全站熱搜

    小巧爸 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄