evan008 - 2007-12-29 14:53:00
MSN传播的Happy2008.zip(26KB)蠕虫,怎样杀?
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; Alexa Toolbar)
Guardian - 2007-12-29 15:13:00
你找 猫叔 把,让他帮你整一下 ,还有你最好将样本加密传上来
千寻旅 - 2007-12-29 15:13:00
搜索到这个文件删除就可以了,如果不行的话就上报瑞星分析。
Guardian - 2007-12-29 15:13:00
蠕虫不是直接搜索就可以的把
没看到过样本,不知到怎么整
newcenturymoon - 2007-12-29 16:05:00
请把这个压缩包发上来
evan008 - 2007-12-29 16:10:00
在网上搜到一个叫Coderui的大侠分析了这个病毒,但没有说具体怎样杀,我只把.ZIP文件删除了,但没有找到.EXE的文件,不知病毒是否还存在,请大家帮忙
newcenturymoon - 2007-12-29 16:14:00
下载 System Repair Engineer,
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把报告保存后以附件的形式发上来,注意把报告文件的扩展名改成“.txt”
或者把该压缩包发上来
tankk - 2007-12-29 16:18:00
你要是没有解压缩就应该没什么事
建议下载 SREng:
http://www.kztechs.com/sreng/download.html
方法:
1、解压-->运行SREng.exe(如果不能运行,改名为111.exe、111.bat、111.scr、111.com或111.pif);
2、智能扫描-->扫描-->保存报告;
3、将日志粘贴到帖子上或用附件传上。
evan008 - 2007-12-29 16:32:00
【回复“tankk”的帖子】
压缩包删掉了,没法发上来
引用一下Coderui大侠的分析报告:
病毒英文名称:Worm/MSN.SendPhoto.x
病毒中文名称:性感相册
病毒 类型:蠕虫
危险 级别:★★
影响 平台:Win 9X/ME/NT/2000/XP/2003
添加了保护性比较强的加密型压缩壳(未知壳,本变种与上几个变种所添加的最外层壳略有改变),该壳解压完数据后会通过创建新线程的方式去动态解密病毒程序的输入表,病毒主程序线程停止5秒后退出,由壳创建的动态解密病毒程序输入表的线程去继续指定病毒程序体内的代码。
采用C++语言,由Microsoft Visual C++ 6.0 或 Microsoft Visual C++ 8.0编译器编写而成。
病毒脱壳后的程序真正入口点地址为:00007A54
脱壳前文件大小为:26,014 字节
脱壳后文件大小为:338,432 字节
病毒自我复制保存路径:
C:\windows\svchost.exe->(属性设置为:只读、隐藏、存档)
创建生成保存压缩包的路径:
C:\windows\Happy2008.zip->(文件大小为:26,148 字节)
病毒运行后,在被感染计算机系统的后台与骇客服务器IP地址:211.115.112.76,端口:81,进行对话式数据通信。
主要功能是:接受通过骇客服务器事先定义好的指令,然后执行相应的操作,被感染计算机会被骇客所控制,用户计算机中的信息资料不再安全,最终成为僵尸网络。
骇客会利用这些已经规划好的不同地区的被控制计算机进行地域试传播网游木马,盗取不同国家的网络游戏帐号。
还可以利用不同地域和不同服务器(网通、电信等)的傀儡主机进行大面积分布式DDOS拒绝服务攻击。
下载病毒更新程序或其它病毒(根据操作系统版本和语言的不同,可能地址也不同),因为目前该变种为最新版本,所以骇客服务器没有返回恶意程序的下载地址。
自动判断操作系统版本和语言,自动下载不同版本的新变种病毒。
通过MSN发送的诱惑信息:
Check theese out, Christmas + New year!
Hey, have u seen these Christmas images?
you gotta see this, me in my noughty santa suit!! :P
New year + Christmas pictures! :D
Happy new year xD! :D see
Heeey :) <3 Check out theese New year photos!
通过MSN发送的压缩包文件:
\Happy2008.zip->(文件大小为:26,148 字节)
压缩包中的病毒文件名:
Happy2008-Card.com->(解压后文件大小为:26,014 字节)
病毒注册表启动项:
HKEY_LOCAL_MACHINE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
启动项键名:
happy2008
启动项病毒文件路径:
C:\windows\msmsgrsu.exe
创建批处理功能:
@echo off
:Repeat
del "%s">nul
if exist "%s" goto Repeat
del "%%0"
@echo off
:Repeat
del "%s">nul
ping 0.0.0.0>nul
if exist "%s" goto Repeat
del "%%0"
%s\l0l0l0l0%i%i%i%i.bat
newcenturymoon - 2007-12-29 16:35:00
按照他的说法删除就可以
evan008 - 2007-12-29 16:43:00
【回复“newcenturymoon”的帖子】
大侠,不好意思,没看懂怎样杀啊,删掉.ZIP和.EXE文件就行吗?
可是我没找到.EXE文件啊
注册表里也没有这个东东,
,它自己消失了?
© 2000 - 2026 Rising Corp. Ltd.