MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决_病毒查杀

文件名称:devic.exe

文件大小:23304 bytes

AV命名:(virustotal上仅卡吧一家报)Backdoor.Win32.SdBot.cok

加壳方式:未知

编写语言:VC

病毒类型:IRCbot

文件MD5:45de608d74ee4fb86b20da86dcbeb55c

行为分析:

1、释放病毒副本:

C:\WINDOWS\devic.exe , 23304 字节
C:\WINDOWS\img5-2007.zip , 23456 字节

2、添加注册表,开机启动:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

(注册表值) SystemDevic = "devic.exe"

3、每隔5秒试探网络并连接韩国IRC服务器:irc.pNet.com,以随机命名和空密码用户登入。

4、可能会接受以下命令:

pB.Main ->
pB.irc ->
pB.Thread ->
pB.wget ->
pB.update ->
pB.Spam-MSN ->
pB.Botkiller ->
pB.pStore ->
pB.Visit ->
pB.DDos ->

5、往MSN好友发送病毒压缩包和以下随机一条:

Qu?usted piensa de este cuadro?
Consegu?a nuevo cuadro de m?la toma una mirada
algunos cuadros de la semana pasada, consideran si usted tiene gusto en ellos.
tiene usted visto este picure todav
Haha, es que usted?
Debo utilizar este cuadro en msn?
Qu?usted piensa en esto?
Was denken Sie an diese?
was denken Sie an dieses picure? ich glaube, da?ich h
lich schaue :/
sind hier eine neue Abbildung von mir
einige Abbildungen von der letzten Woche, sehen, wenn Sie sie m
Haha, diese sind Sie auf dieser Abbildung?
sollte ich diese Abbildung auf msn benutzen?
Was denken Sie an dieses?
Wat denkt u aan dit picure? ik vind ik lelijk kijk
Een paar beelden van vorige week, zien of houdt u hier van em nieuwe pic van me. :) 
Hebt u dit picure nog gezien?:p
Hebt u dit picure nog gezien? :p
Haha, bent u dat op dat beeld? :)
Zou ik dit beeld op msn moeten gebruiken?
Wat denkt u over dit?
que pensez-vous ?ce picure ? je me sens que je semble laid :/
Voici un nouveau pic de moi
Quelques images de la semaine derni
e, voient si vous les aimez
Avez-vous vu ce picure encore ?
Haha, est-vous ce sur cette image ?
Si j'emploient cette image sur le msn ?
Que pensez-vous ?mon image ?
:(:(:(:(
Here's a new pic of me
A few pictures from last week, see if you like em
:D:D:D::D
Have you seen this picure yet?
Haha, is that you on that picture?
Should i use this picture on msn?
What do you think about this?

另外那个img5-2007.zip,里面的病毒可能命名为:

www.photo5-2007-12.JPEG.com
img3-2007-12.JPEG.com
img2-2007-12.JPEG_www.images.com
img-2007-12.JPEG.scr

都是可执行程序,呵呵。

解决方法:

1、开始-运行-regedit。

2、展开到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除这个项:SystemDevic。

3、重启电脑。

4、删除硬盘文件:

C:\WINDOWS\devic.exe

C:\WINDOWS\img5-2007.zip

另外有其他MSN蠕虫变种,上述方法无法清除的

时间: 2024-09-29 09:23:58

MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决_病毒查杀的相关文章

Worm.Win32.AutoRun.bqn病毒分析解决_病毒查杀

一.病毒相关分析:        病毒标签:         病毒名称:Worm.Win32.AutoRun.bqn          病毒类型:蠕虫         危害级别:2         感染平台:Windows         病毒大小:21,504(字节)         SHA1 :01015B9F9231018A58A3CA1B5B6A27C269F807E6         加壳类型:PECompact V2.X-> Bitsum Technologies         开

test.exe,vista.exe,a.jpg,Flower.dll病毒分析解决_病毒查杀

此病毒为之前的梦中情人(暗号)病毒的最新变种 1.病毒运行后,释放如下文件或副本 %systemroot%\system32\config\systemprofile\vista.exe %systemroot%\system32\a.jpg %systemroot%\system32\Flower.dll %systemroot%\system32\vista.exe 各个分区下面释放test.exe和autorun.inf 2.通过查找software\Microsoft\Windows\C

fun.exe这个病毒在局域网如何有效的查杀

问题描述 fun.exe这个病毒在局域网如何有效的查杀 解决方案 解决方案二:http://download.csdn.net/detail/openeve/5017344fun.exedc.exesviq.exewin.exe专杀工具解决方案三:有用我去试试吧

“灯泡男”“神奇小子”(Win32.WizardBoy.a)病毒完整解决方案_病毒查杀

"前些天,电脑中了熊猫烧香,刚把'国宝'赶走没几天,今天上网下载了个小工具后,机器运行又开始变慢,有几个程序图标变成'帅哥'头像,眼睛比较突出象灯泡的样子,估计又中病毒了,真是郁闷!"用户陈先生无奈地表示. 金山毒霸反病毒专家戴光剑指出,这是一个名为"神奇小子"(Win32.WizardBoy.a)的感染型病毒,也有人叫"灯泡男"或"舞男头".该病毒可感染扩展名为exe和scr的可执行文件,并通过局域网传播,当网络可用时,病毒

cdsdf.exe,kl.exe,explorcr.exe等病毒清除方法_病毒查杀

一:问题和症状: 中病毒,其它的病毒文件都好杀.就C:\WINDOWS\system32\cdsdf.exe杀毒软件杀不掉.用PowerRmv杀灭后抑制再生成也没有用.请帮忙解决 二:分析解决: 1. 杀毒前关闭系统还原(Win2000系统可以忽略): 右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可.  清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除

1980病毒完整解决方案_病毒查杀

"最近发现个奇怪的现象,我的系统时间总被改成1980年,改回来后电脑又自动改回去了.我问了朋友,说是主板电池没电了,我买了新电池装上也没搞定,昨天竟然发现QQ被盗了."用户张先生无奈地表示. 金山毒霸反病毒专家戴光剑表示,最近类似张先生的遭遇比较多,病毒篡改系统时间,因为修改后的时间都是1980年,所以很多网友称之为"1980病毒".病毒调整系统时间的目的是关闭杀毒软件的监控功能,然后在后台下载灰鸽子运行,这样,你的机器就同时中了1980和灰鸽子两个病毒.感染灰鸽子

查杀rundllfromwin2000病毒的方法_病毒查杀

该程序原本系2000系统里的rundll.exe,被流氓恶意程序带着它改了名字到处乱转,就成了人见人恨东西了. 病毒表现为: IE主页被强制更改.系统不定期无原因自动重新启动.任务管理器中出现此进程等等. 查杀方法: 对于系统服务中出现WalALET的服务的,可以到注册表中删除,注册表位置: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WalALET] 描述:发送和接收局域网内部系统管理员或者"警报器"服务传递的消息. 显

PSW.Win32.Magania.ffw(F3C74E3FA248.exe)病毒的清除_病毒查杀

 1.  释放病毒文件: C:\WINDOWS\Help F3C74E3FA248.dll  143872 字节 F3C74E3FA248.exe  74532 字节 2.  添加启动项: Registrykey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks    Registry value: {1DBD6574-D6D0-4782-94C3-69619E719765} Type: REG_

对于最近出现的Death.exe病毒及其变种的手工查杀办法不用专杀工具_病毒查杀

病毒症状: 杀毒软件被禁用.隐藏文件无法显示.开始命令msconfig无法运行.很多辅助软件也无法运行,运行EXE以及SCR 文件后被病毒的感染 手动查杀用到的软件: SRENG软件以及XDELBOX软件 Quote: 病毒名称:Trojan-Downloader.Win32.Agent.**** 病毒类型:木马 病毒MD5:2ccd81d7d358778b11de9303e0097d2d 加壳类型:UPX 编写语言:Borland Delphi 6.0 - 7.0 病毒运行 生成进程: Cod