中毒用户会向MSN好友发送"Here are my very secret pictures for you.或者"Here are my pictures from my vacation(请接收我的照片)","hmm is this you on the photo?","Nice new photos of me and my friends and stuff"等英文消息,并会传送“Myalbum2007.zip”压缩文件。如果用户接收并运行该文件,就会中毒。
该zip文件解压缩后如下图所示:
运行流程:
该蠕虫运行后,会向Windows目录下复制一个自己zip文件的副本,并且向system32目录下写入一个s开头的Dll文件,并且注册为com组件,这样每次启动计算机,该组件就会自动插入到系统进程并运行,所以用户很难找到并删除该文件,表现现象就是在MSN上疯狂向好友发送病毒文件,大量消耗系统资源和网络带宽.同时该蠕虫连接远程IRC服务器(89.188.16.60),开启并监听20480端口,接受远程控制命令,黑客可以轻易窃取用户计算机内的资料,如果是局域网感染,会造成一个僵尸网络,所以对个人和企业用户危害相当大.
此毒在windows文件夹释放一个Myalbum2007.zip;在system32文件夹释放一个sysprinters.dll。此dll可插入多个应用程序进程。
自动向MSN好友发送以下内容:(并将自己以附件的形式发送,文件名:myalbum2007.zip)
->Here are my very secret pictures for you.
->Here are my pictures from my vacation
->hmm is this you on the photo ?
->Check out my pics from my workplace.
->Nice new photos of me and my friends and stuff...
->ahh look this is my greatest picture made on vacation 2007, take a look
->Check out my nice photo album.
->hey regarde les tof de notre bande de fous.
->hey regarde les tof, c'est moi et mes copains entrain de....
->j'ai fais pour toi cet album de photos tu dois le voire
->stp regarde cet album de photos je lai fais specialement pour toi et mes amis...
->mes photos chaudes
->hey kijk eens naar mijn nieuwe foto album
->hey bekijk eens mijn nieuwe foto album
->hmm ben jij dit op de foto ?
->hey kijk ! dit is een lijst van mijn nieuwste fotos !!
->ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens
->kijk dit zijn fotos van mij werkplek!
->hmm ben jij dit op de foto ?
样本名:photo album-2007.scr
病毒名: whQ
加壳:
文件大小:24,040 字节
MD5:0FF32DD50628FF68087556C83F87A666
SHA1:3B397BE044FECF190F20AF34AC6B76136E09A866
样本名:sysprinters.dll
病毒名:
加壳:
文件大小:52,736 字节
MD5:EE3ED79FFB63344B6E50458B68A7814A
SHA1:15B1E629EF96FF8CBA3FEE127B8ABC8A88B3F9DF
释放的行为:
C:WINDOWSmyalbum2007.zip
C:WINDOWSsystem32sysprinters.dll
修改注册表,注入系统进程(子键是随机的,最好的方法在注册表里搜索 sysprinters.dll,搜到即删除子建):
1 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad j{
"system32" = {7D30DB45-64B4-4416-8BF1-EFC97206B84A}
2 HKEY_LOCAL_MACHINESoftwareClassesCLSID{2D3F62CC-CA48-435B-8890-9A26DAA5BA75}InProcServer32
默认= sysprinters.dll
3 HKEY_LOCAL_MACHINESoftwareClassesCLSID{7D30DB45-64B4-4416-8BF1-EFC97206B84A}InProcServer32
默认= sysprinters.dll hfD/
MSN病毒 myalbum2007.zip查杀流程:
1、打开注册表编辑器,展开:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
删除:system32
展开:HKEY_CLASSES_ROOTCLSID
删除{BB009077-4264-4655-B212-FAB1CAF1DE62}(其中的InProcServer32默认值为"sysprinters.dll")
2、重启系统。
3、删除病毒文件。