“Backdoor.Win32.IRCBot.acd”的意思、由来-中文百科全书

文件名称：album11.scr

文件大小：116736 byte

字串7

AV命名：Backdoor.Win32.IRCBot.acd(卡吧斯基) 字串3

加壳方式：Ntkrnl protector 字串8

编写语言：Borland Delphi 6.0 - 7.0

字串7

病毒类型：后门(IRC)

字串5

文件MD5：EF5B233300CF8F9C3C9B0A861111EC8D

字串8

文件SHA1：33388AD6BFAB9BE01E4754AC482098E142BF395C

字串1

传播方式：MSN、网络。字串5

行为分析：

字串9

1、释放病毒文件：

字串8

%Systemroot%\\images3.zip 116856 字节（病毒副本）字串2

注意！可能文件名不一样。

字串2

%Systemroot%\\system32\\libcintles3.dll 26000 字节

字串5

%Systemroot%\\system32\\msn.exe 116736 字节

字串5

%Systemroot%为：C:\\Winnt（2000、ME系统） C:\\Windows（XP、2003）字串3

2、libcintles3.dll 注入Explorer进程，检测MSN窗口，尝试发送病毒副本和一些诱人的语言（未实现）

字串7

（接收并运行病毒文件的MSN好友则成为新的传播体``）字串4

3、连接远程IRC服务器（89.188.16.60）等待黑客命令（穿防火墙），从而沦落为肉机。字串1

4、如检测到无MSN进程，则隔段时间以无判断的方式尝试激活：字串4

C:\\Program Files\\MSN Messenger\\msnmsgr.exe

字串9

5、连接IRC服务器下载文件：字串1

C:\\Documents and Settings\\administrator\\qndqoh.exe 5548 字节字串4

C:\\Documents and Settings\\administrator\\cfqxuk.exe 5548 字节

字串1

（文件名不固定）字串5

不是可执行文件。通过抓包分析，应该是根据里面记录的一些网站进行攻击。

字串6

6、libcintles3.dll修改注册表：字串9

HKEY_CLASSES_ROOT\\CLSID\\\\InProcServer32\\

REG_SZ, "libcintles3.dll " 字串8

注意，可能不一样。

字串5

实现开机注入进程。

字串4

还有个：字串9

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad\\printers 字串8

指向的是

字串4

呵呵，比较隐蔽。以前的MSN蠕虫貌似没有添加这个。

字串9

字串4

解决方法：字串9

推荐：去网上查找下MSN蠕虫专杀吧``比较省事`` =。=

字串5

手工清除：字串2

http://free.ys168.com/?gudugengkekao下载：字串3

冰刃.rar 2,110KB 字串9

sreng2.5.zip 780KB 字串6

直接放桌面，断开网络。字串9

1、打开冰刃，禁止线程创建，确定。

字串5

2、使用冰刃“文件”功能，删除：字串7

%Systemroot%\\images3.zip 116856 字节（病毒副本）字串6

（注意变通，文件名不固定的）字串3

%Systemroot%\\system32\\libcintles3.dll 26000 字节

字串9

%Systemroot%\\system32\\msn.exe 116736 字节字串2

%Systemroot%为：C:\\Winnt（2000、ME系统） C:\\Windows（XP、2003）

字串2

字串5

C:\\Documents and Settings\\administrator\\qndqoh.exe 5548 字节字串3

C:\\Documents and Settings\\administrator\\cfqxuk.exe 5548 字节字串7

注意，文件名可能不固定，注意看文件大小。字串8

还有administrator用户名不固定。。以你当前用户名为准。

字串4

3、设置冰刃，重启并监视。字串4

4、重启后开SREng，删除：字串7

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad

字串3

<printers><libcintles3.dll> [] 字串2

词条	Backdoor.Win32.IRCBot.acd
释义	文件名称：album11.scr 文件大小：116736 byte 字串7 AV命名：Backdoor.Win32.IRCBot.acd(卡吧斯基) 字串3 加壳方式：Ntkrnl protector 字串8 编写语言：Borland Delphi 6.0 - 7.0 字串7 病毒类型：后门(IRC) 字串5 文件MD5：EF5B233300CF8F9C3C9B0A861111EC8D 字串8 文件SHA1：33388AD6BFAB9BE01E4754AC482098E142BF395C 字串1 传播方式：MSN、网络。字串5 行为分析：字串9 1、释放病毒文件：字串8 %Systemroot%\\images3.zip 116856 字节（病毒副本）字串2 注意！可能文件名不一样。字串2 %Systemroot%\\system32\\libcintles3.dll 26000 字节字串5 %Systemroot%\\system32\\msn.exe 116736 字节字串5 %Systemroot%为：C:\\Winnt（2000、ME系统） C:\\Windows（XP、2003）字串3 2、libcintles3.dll 注入Explorer进程，检测MSN窗口，尝试发送病毒副本和一些诱人的语言（未实现）字串7 （接收并运行病毒文件的MSN好友则成为新的传播体``）字串4 3、连接远程IRC服务器（89.188.16.60）等待黑客命令（穿防火墙），从而沦落为肉机。字串1 4、如检测到无MSN进程，则隔段时间以无判断的方式尝试激活：字串4 C:\\Program Files\\MSN Messenger\\msnmsgr.exe 字串9 5、连接IRC服务器下载文件：字串1 C:\\Documents and Settings\\administrator\\qndqoh.exe 5548 字节字串4 C:\\Documents and Settings\\administrator\\cfqxuk.exe 5548 字节字串1 （文件名不固定）字串5 不是可执行文件。通过抓包分析，应该是根据里面记录的一些网站进行攻击。字串6 6、libcintles3.dll修改注册表：字串9 HKEY_CLASSES_ROOT\\CLSID\\\\InProcServer32\\ REG_SZ, "libcintles3.dll " 字串8 注意，可能不一样。字串5 实现开机注入进程。字串4 还有个：字串9 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad\\printers 字串8 指向的是字串4 呵呵，比较隐蔽。以前的MSN蠕虫貌似没有添加这个。字串9 字串4 解决方法：字串9 推荐：去网上查找下MSN蠕虫专杀吧``比较省事`` =。= 字串5 手工清除：字串2 http://free.ys168.com/?gudugengkekao下载：字串3 冰刃.rar 2,110KB 字串9 sreng2.5.zip 780KB 字串6 直接放桌面，断开网络。字串9 1、打开冰刃，禁止线程创建，确定。字串5 2、使用冰刃“文件”功能，删除：字串7 %Systemroot%\\images3.zip 116856 字节（病毒副本）字串6 （注意变通，文件名不固定的）字串3 %Systemroot%\\system32\\libcintles3.dll 26000 字节字串9 %Systemroot%\\system32\\msn.exe 116736 字节字串2 %Systemroot%为：C:\\Winnt（2000、ME系统） C:\\Windows（XP、2003）字串2 字串5 C:\\Documents and Settings\\administrator\\qndqoh.exe 5548 字节字串3 C:\\Documents and Settings\\administrator\\cfqxuk.exe 5548 字节字串7 注意，文件名可能不固定，注意看文件大小。字串8 还有administrator用户名不固定。。以你当前用户名为准。字串4 3、设置冰刃，重启并监视。字串4 4、重启后开SREng，删除：字串7 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad 字串3 <printers><libcintles3.dll> [] 字串2 后打开注册表，查找libcintles3.dll ，有找到的删除，最好先备份下哈
随便看	人体工效学MP5 人体工学与环境设计人体工学与艺术设计人体工学桌椅人体共鸣器官人体构造人体谷歌人体耗散结构人体绘画技法人体绘画精解人体绘画艺术人体基本运动的生物力学分析人体机能替代装置人体机能学实验教程人体及动物生理学人体及动物生理学第二版人体急救自救护理全图解人体疾病信号手册人体疾病自测与预防人体疾病自查彩色图谱人体疾病自查手册人体脊柱使用手册人体寄成虫学人体寄生虫病化学药物防治人体寄生虫病误诊分析