|
- 帖子
- 8
- 精華
- 0
- 威望
- 1
- 魅力
- 0
- 讚好
- 0
|
8#
發表於 2007-8-30 04:57 AM
| 只看該作者
請看以下解說:
北京盛世京天科技有限公司
MSN照片蠕蟲新變種:photo_album*.zip,album*.zip,image*.zip,photo*.zip,*代表的數字是隨機變化的,該蠕蟲目前正通過MSN瘋狂傳播,由於該蠕蟲是一個全新的變種,並且在計算機系統運行後無進程,大大加大了發現的難度,所以目前大多數殺毒軟件都對此毫無反應,所以我們建議用戶不要輕易在MSN上接收好友發過來的莫名其妙的文件.
*******************
你中的同這個差不多, 試用同一方法但改用你自己病毒的名取代. ( 在刪除的輸入名稱時, 以下有 myalbum2007.zip 名稱的改為 me2007.zip )
找一個懂電腦的人去幫你照以下刪除, 你可在system edit 內用search去找這個"sysprinters.dll"檔案, 便可找到該CLSID的字串. 照以下刪除整個字串及程序看可否解決. 這類刪除工作通常在安全模式下執行.
祝好運...
^^^^^^^^^^^^^
MSN病毒 myalbum2007.zip 的清除方案
MSN性感相冊病毒又出變種了,按下面方法可以解決之:
檔案編號:CISRT2007079
病毒名稱:Backdoor.Win32.IRCBot.acd(Kaspersky)
病毒別名:Backdoor.Win32.IRCbot.w(瑞星)
Win32.Hack.MSNBot.ac.52736(毒霸)
病毒大小:52,736 字節
加殼方式:
樣本MD5:ee3ed79ffb63344b6e50458b68a7814a
樣本SHA1:15b1e629ef96ff8cba3fee127b8abc8a88b3f9df
發現時間:2007.7.2
更新時間:2007.7.2
關聯病毒:
傳播方式:通過MSN傳播
技術分析
==========
病毒通過MSN傳播,向MSN上的聯繫人發送虛假消息,同時將自身壓縮包偽裝成照片發送過去(如圖),如果對方接受並打開壓縮包中的病毒文件,那麼系統將被感染。和之前變種一樣,新變種仍然通過ShellServiceObjectDelayLoad加載。
病毒運行後在系統目錄生成包含自身副本的ZIP壓縮文件:
%Windows%\myalbum2007.zip其中包含的文件名是photo album-2007.scr
釋放一個dll文件注入進程:
%System%\sysprinters.dll
在註冊表ShellServiceObjectDelayLoad處創建啟動方式:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"system32"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="sysprinters.dll"
註:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}為一串CLSID,病毒產生的這段CLSID不固定,如:{72E56A20-CFEE-4DD8-A10D-F1A43CBE46A2}
**************************
清除步驟
==========
1. 刪除病毒的啟動方式:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"system32"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
以及對應的:
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="sysprinters.dll"
2. 重新啟動計算機
3. 刪除文件:
%Windows%\myalbum2007.zip
%System%\sysprinters.dll
%userprofile%\new.txt |
|
