请输入您要查询的百科知识:

 

词条 Backdoor.Win32.IRCBot.acd
释义

文件名称:album11.scr

文件大小:116736 byte

字串7

AV命名:Backdoor.Win32.IRCBot.acd(卡吧斯基) 字串3

加壳方式:Ntkrnl protector 字串8

编写语言:Borland Delphi 6.0 - 7.0

字串7

病毒类型:后门(IRC)

字串5

文件MD5:EF5B233300CF8F9C3C9B0A861111EC8D

字串8

文件SHA1:33388AD6BFAB9BE01E4754AC482098E142BF395C

字串1

传播方式:MSN、网络。 字串5

行为分析:

字串9

1、释放病毒文件:

字串8

%Systemroot%\\images3.zip 116856 字节 (病毒副本) 字串2

注意!可能文件名不一样。

字串2

%Systemroot%\\system32\\libcintles3.dll 26000 字节

字串5

%Systemroot%\\system32\\msn.exe 116736 字节

字串5

%Systemroot%为:C:\\Winnt(2000、ME系统) C:\\Windows(XP、2003) 字串3

2、libcintles3.dll 注入Explorer进程,检测MSN窗口,尝试发送病毒副本和一些诱人的语言(未实现)

字串7

(接收并运行病毒文件的MSN好友则成为新的传播体``) 字串4

3、连接远程IRC服务器(89.188.16.60)等待黑客命令(穿防火墙),从而沦落为肉机。 字串1

4、如检测到无MSN进程,则隔段时间以无判断的方式尝试激活: 字串4

C:\\Program Files\\MSN Messenger\\msnmsgr.exe

字串9

5、连接IRC服务器下载文件: 字串1

C:\\Documents and Settings\\administrator\\qndqoh.exe 5548 字节 字串4

C:\\Documents and Settings\\administrator\\cfqxuk.exe 5548 字节

字串1

(文件名不固定) 字串5

不是可执行文件。通过抓包分析,应该是根据里面记录的一些网站进行攻击。

字串6

6、libcintles3.dll修改注册表: 字串9

HKEY_CLASSES_ROOT\\CLSID\\\\InProcServer32\\

REG_SZ, "libcintles3.dll " 字串8

注意,可能不一样。

字串5

实现开机注入进程。

字串4

还有个: 字串9

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad\\printers 字串8

指向的是

字串4

呵呵,比较隐蔽。以前的MSN蠕虫貌似没有添加这个。

字串9

字串4

解决方法: 字串9

推荐:去网上查找下MSN蠕虫专杀吧``比较省事`` =。=

字串5

手工清除: 字串2

http://free.ys168.com/?gudugengkekao下载: 字串3

冰刃.rar 2,110KB 字串9

sreng2.5.zip 780KB 字串6

直接放桌面,断开网络。 字串9

1、打开冰刃,禁止线程创建,确定。

字串5

2、使用冰刃“文件”功能,删除: 字串7

%Systemroot%\\images3.zip 116856 字节 (病毒副本) 字串6

(注意变通,文件名不固定的) 字串3

%Systemroot%\\system32\\libcintles3.dll 26000 字节

字串9

%Systemroot%\\system32\\msn.exe 116736 字节 字串2

%Systemroot%为:C:\\Winnt(2000、ME系统) C:\\Windows(XP、2003)

字串2

字串5

C:\\Documents and Settings\\administrator\\qndqoh.exe 5548 字节 字串3

C:\\Documents and Settings\\administrator\\cfqxuk.exe 5548 字节 字串7

注意,文件名可能不固定,注意看文件大小。 字串8

还有administrator用户名不固定。。以你当前用户名为准。

字串4

3、设置冰刃,重启并监视。 字串4

4、重启后开SREng,删除: 字串7

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad

字串3

<printers><libcintles3.dll> [] 字串2

后打开注册表,查找libcintles3.dll ,有找到的删除,最好先备份下哈

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 0:09:30