MSN机器人Backdoor.Win32.IRCBot.axj分析
病毒名称: Backdoor.Win32.IRCBot.axj
中文名称: MSN机器人
病毒类型: 后门类
文件 MD5: B8A43A5B38BE871CDDA0CC52AD034860
公开范围: 完全公开
危害等级: 5
文件长度: 脱壳前59,895 字节,脱壳后401,408 字节
感染系统: Windows9x以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 未知壳
病毒描述:
该病毒运行后,衍生病毒副本到系统目录下,添加注册表自动运行项以跟随系统引
导病毒体。病毒体判断本地是否有MSN 窗体存在,如无则连接IRC服务器,接收指令下
载病毒体到本机运行,如有则向所有联系人发送病毒副本New-Year2008-imgaes.zip。
由于病毒体具有执行IRC指令的功能,受感染用户可被控制下载任意程序到本机执行,
极具危害性与传播性。
行为分析:
本地行为:
1、文件运行后会衍生副本:
%WinDir%\New-Year2008-imgaes.zip
%WinDir%\msmsgrsu.exe
2、新增注册表:
HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run\
键值:MsnLiveMessenger
字符串: "msmsgrsu.exe"
3、随机选取文本信息以诱使联系人接收病毒体,病毒体内的字符序列如下:
"Heeey :) <3 Check out theese New year p"...
"Happy new year xD! :D see"
"New year + Christmas pictures! :D"
"you gotta see this, me in my noughty sa"...
"Hey, have u seen these Christmas images"...
"Check theese out, Christmas + New year!"...
'Check theese out, Christmas + New year!',0
'Hey, have u seen these Christmas images?',0
'you gotta see this, me in my noughty santa suit!! :P',0
'New year + Christmas pictures! :D',0
'Happy new year xD! :D see',0 ;
'Heeey :) <3 Check out theese New year photos!',
'\New-Year2008-imgaes.zip'
4、连接的IRC服务器名称:
secure.bindshell.info
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
--------------------------------------------------------------------------------
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载:www.antiy.com 。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天防线2008“进程管理”关闭病毒进程msmsgrsu.exe。
(2)删除病毒文件:
%WinDir%\New-Year2008-imgaes.zip
%WinDir%\msmsgrsu.exe
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值:MsnLiveMessenger
字符串: "msmsgrsu.exe"
www.newjian.com
您的位置: