首页 | 最新病毒 | 反病毒学院 | qq病毒专杀 | arp病毒 | MSN病毒 | auto病毒专杀 | U盘病毒 | downloader病毒 | 木马查杀 | 计算机病毒 | 最新漏洞   
您的位置: 首页 >> MSN病毒 >> 阅读资讯:MSN最新变种(nppsvc.exe,picture017.JPEG_www.facebook.com)病毒分析

MSN最新变种(nppsvc.exe,picture017.JPEG_www.facebook.com)病毒分析

[ 作者:dxstxqqk | 更新日期:2008-1-30 20:15:27 | 阅读次数: ]

MSN最新变种 nppsvc.exe

picture017.JPEG_www.facebook.com病毒分析

一、病毒相关分析: 
         病毒名称:Backdoor.Win32.IRCBot.bgh
        病毒别名:MSN蠕虫
        病毒类型:蠕虫
        危害级别:3
        感染平台:Windows
        病毒大小:83,456(字节)
        SHA1  :18511d687a66a036abf6dc8e2b5fd0e95e4aeb13
        加壳类型:EXECryptor
        开发工具:VC
     病毒行为:
        1、复制自身为%System%\nppsvc.exe
          连接IRC服务pool.hybridtx.com接收下载恶意程序的链接。
          下载文件facebook*.zip到%Temp%目录   
          //压缩包中文件为picture0*.JPG_www.facebook.com,以上*为数字
          添加注册表项
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
          "Windows Audio Panel"="nppsvc.exe"
        2、下载恶意程序
          http://mashup.*****.kasserver.com/downloads/XpSo.exe
          http://www.*****.dk/includes/js/rs2.exe
          http://www.*****r.com/img/gen04.exe
          以上文件运行后还会释放文件:
          %System%\urqqoml.dll   38,400(字节)  //此文件件名为随机七位字母组合
          该文件插入系统进程winlogon.exe
          %System%\hgdbb.dll    334,336(字节)  //此文件件名为随机五位字母组合
          其中文件XpSo.exe复制到%Temp%\14.exe并添加注册表项
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
          "NvGraphicsInterface"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\14.exe"
        3、读取链接下面链接指向的文件
          http://www.timbercreeksoftware.com/_vti/vti.txt
          文件内容如下:
          do I look ugly in this pic?
          checkout my new car!
          look at my ears here lol
          do you think this picture of me is ugly?
          Hey, is this your picture?
          look at my new jeans I just got
          you want my new picture? ;)
          this person just looks like you!
          this is getting selled in myspace check it out!
          I just made your face double check it out lol
          is it ok if I add this picture of us to my eblog?
          do you like this picture of us?
          this is a new pic of me accept it 
          This look good enough for my default?
          I want you to have this pic  u and me
          Damn I think this looks goood!
          This can't be you.... right?
          take a look at this pic... omg!!
          I got a very old picture of you.. check it 
          o_O this picture is amazing
          isn't this one of your friends?
          checkout my new picture
          Hey, want to see a picture of us? accept :)
          My new camara pic omg its nice!
          do you mind if I add this picture of us to my album?
          并根据在文件中随机选择语句发送给MSN好友,同时发送压缩包文件facebook*.zip  //*为随机数字

二、解决方案
  推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
    超级巡警下载地址:http://www.dswlab.com/d1.html
三、安全建议
    1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
    2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
    3、使用超级巡警的补丁检查功能,及时安装系统补丁。
    4、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
    5、禁用不必要的服务。
    6、及时更新常用软件,尤其是聊天工具。
    7、不要随便打开不明来历的电子邮件,尤其是邮件附件。
    8、不要随意下载不安全网站的文件并运行。
    9、下载和新拷贝的文件要首先进行查毒。
    10、不要轻易打开即时通讯工具中发来的链接或可执行文件。
    11、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。

www.newjian.com


Tags:MSN最新变种 nppsvc.exe picture017.JPEG_www.facebook.com
来源:
上一篇:Trojan-Downloader.JS.Small.js卡巴提示木马序解决  下一篇:“MSN布克”病毒手工清除方法
您的评论
用户名:新注册) 密码: 匿名评论 [所有评论]

·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
热点资讯

精彩推荐

     

最新资讯

随机推荐