扫一扫
关注微信公众号

MSN病毒 myalbum2007.zip查杀方法及专杀工具下载
2008-04-25   

中毒用户会向MSN好友发送"Here are my very secret pictures for you.或者"Here are my pictures from my vacation(请接收我的照片)","hmm is this you on the photo?","Nice new photos of me and my friends and stuff"等英文消息,并会传送“Myalbum2007.zip”压缩文件。如果用户接收并运行该文件,就会中毒。 
 

 
该zip文件解压缩后如下图所示:

 
运行流程:   
该蠕虫运行后,会向Windows目录下复制一个自己zip文件的副本,并且向system32目录下写入一个s开头的Dll文件,并且注册为com组件,这样每次启动计算机,该组件就会自动插入到系统进程并运行,所以用户很难找到并删除该文件,表现现象就是在MSN上疯狂向好友发送病毒文件,大量消耗系统资源和网络带宽.同时该蠕虫连接远程IRC服务器(89.188.16.60),开启并监听20480端口,接受远程控制命令,黑客可以轻易窃取用户计算机内的资料,如果是局域网感染,会造成一个僵尸网络,所以对个人和企业用户危害相当大.
此毒在windows文件夹释放一个Myalbum2007.zip;在system32文件夹释放一个sysprinters.dll。此dll可插入多个应用程序进程。  
自动向MSN好友发送以下内容:(并将自己以附件的形式发送,文件名:myalbum2007.zip)   
->Here are my very secret pictures for you.

->Here are my pictures from my vacation
->hmm is this you on the photo ?
->Check out my pics from my workplace.

->Nice new photos of me and my friends and stuff...

->ahh look this is my greatest picture made on vacation 2007, take a look
->Check out my nice photo album.
->hey regarde les tof de notre bande de fous.  
->hey regarde les tof, c'est moi et mes copains entrain de....
->j'ai fais pour toi cet album de photos tu dois le voire
->stp regarde cet album de photos je lai fais specialement pour toi et mes amis...
->mes photos chaudes
->hey kijk eens naar mijn nieuwe foto album

->hey bekijk eens mijn nieuwe foto album

->hmm ben jij dit op de foto ?
->hey kijk ! dit is een lijst van mijn nieuwste fotos !!
->ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens   
->kijk dit zijn fotos van mij werkplek!  
->hmm ben jij dit op de foto ?
样本名:photo album-2007.scr
病毒名: whQ
加壳:
文件大小:24,040 字节
MD5:0FF32DD50628FF68087556C83F87A666
SHA1:3B397BE044FECF190F20AF34AC6B76136E09A866
样本名:sysprinters.dll

病毒名:  
加壳:

文件大小:52,736 字节  
MD5:EE3ED79FFB63344B6E50458B68A7814A
SHA1:15B1E629EF96FF8CBA3FEE127B8ABC8A88B3F9DF
释放的行为: 
      C:WINDOWSmyalbum2007.zip 

      C:WINDOWSsystem32sysprinters.dll
修改注册表,注入系统进程(子键是随机的,最好的方法在注册表里搜索 sysprinters.dll,搜到即删除子建):
1        HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad j{
"system32" = {7D30DB45-64B4-4416-8BF1-EFC97206B84A}
2        HKEY_LOCAL_MACHINESoftwareClassesCLSID{2D3F62CC-CA48-435B-8890-9A26DAA5BA75}InProcServer32

      默认= sysprinters.dll
3        HKEY_LOCAL_MACHINESoftwareClassesCLSID{7D30DB45-64B4-4416-8BF1-EFC97206B84A}InProcServer32 
      默认= sysprinters.dll hfD/
MSN病毒 myalbum2007.zip查杀流程:
1、打开注册表编辑器,展开:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
删除:system32

展开:HKEY_CLASSES_ROOTCLSID
删除{BB009077-4264-4655-B212-FAB1CAF1DE62}(其中的InProcServer32默认值为"sysprinters.dll")
2、重启系统。

3、删除病毒文件。

热词搜索:

上一篇:AOL联手WebEx提高即时通讯软件安全及协作性
下一篇:决战 MSN病毒之手动杀死万恶 MSN性感鸡

分享到: 收藏