※ [本文轉錄自 MSNmessenger 看板] 作者: PrinceBamboo (竹筍王子) 看板: MSNmessenger 標題: [轉錄][資訊] MSN新病毒 photo album.zip 不要接受 時間: Sat Mar 31 00:48:20 2007 ※ [本文轉錄自 share 看板] 作者: Darknies (加五元就變大可) 看板: share 標題: [資訊] MSN新病毒 photo album.zip 不要接受 時間: Fri Mar 30 17:01:02 2007 剛剛本人受到MSN病毒攻擊 photo album.zip 裡面檔案叫做photo album2007.pif 這是最新的MSN病毒 他會背景執行然後 發給你MSn 上面所有聯絡人 卡巴斯基認定為 病毒名： Backdoor.Win32.IRCBot.aaq 三、行為分析： 1、病毒運行后衍生病毒文件到系統目錄下：1、病毒運行後衍生病毒文件到系統目錄下： %WINDIR%\photo album.zip%WINDIR%\photoalbum.zip %system32%\rdshost.dll%system32%\rdshost.dll 2、關閉當前任務管理器中一切可以關閉的進程。 3、把病毒衍生的文件rdshost.dll插入到系統正常進程Explorer.exe中，並通過rdshost.dll連接指定的IRC信 道，並接受控制者遠程控制。 4、修改註冊表，添加啟動項目，以達到開机啟動的目的目地 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoadHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad ?值：字串："rdshost "= "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"鍵值：字串： "rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32 ?值：字串："@"="rdshost.dll"鍵值：字串："@"="rdshost.dll" 注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}?可?字串。注： {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}為可變字串。 5.病毒通過MSN傳播，會檢查用戶是否開啟MSN，如果開啟則自動向用戶MSN中的好友自動發 送訊息 清除方法 1.開啟regedit 把 以下啟動碼刪除 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] @="rdshost.dll" 2.重開機 3.刪除病毒檔案： %Windows%\photo album.zip %System%\rdshost.dll 附注: %system%是一個可變路徑 2000/NT 為C:\Winnt\System32 windows95/98/me 為C:\Windows\System XP為C:\Windows\System32 -- 喜歡不一定要去擁有 有時遠遠的欣賞 也是一種美 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.247.37.5 ※ 編輯: Darknies 來自: 218.247.37.5 (03/30 17:02) --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.129.39.124 -- http://www.wretch.cc/album/Ansel http://photo.xuite.net/medstudent --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 192.192.90.209