频道直达 - 专题 - 新闻 - 技巧 - 组网 - 开发 - 安全 - web编程 - 图像 - 操作系统 - 数据库 - 教育 - 旅游 - 健康 - 时尚 - 驱动 - 软件 - 游戏 - 多媒体 - ERP - 讨论组
阅读排行榜 | 收藏此文 | 收藏本站 | 设为首页

局域网爆发新MSN病毒 发送汉语拼音信息

来源:赛迪网 作者:李铁军 出处:巧巧读书 2007-08-18 进入讨论组

讨论组http://group.qqread.com

病毒挂在shell进程中,随机向联系人发消息,附件企图伪装成一个img文件,千万别上当。新变种会用汉语拼音发送文本信息,比如: 


NI HE WO !!! .... QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN :o !!
'YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
            ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!

带一个zip包的附件。

这个病毒会在 

Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

添加键值,键值在这个里面。 可能有新版DLL名会变,但可以在这个键值下找到,没有版本信息。

清除办法:

手动解决比较简单,只需要先结束explorer(资源管理器)进程,再找到这个DLL,删除就行。或者使用金山清理专家,彻底删除这个DLL,再重启,问题就解决了。

以下是MSN机器人的详细分析

病毒名:Win32.Troj.MsnBot.ac.116736

1.拷贝释放文件

病毒运行后,会把自己拷贝到系统目录中

%system%\explorer.exe

并释放一个dll文件

%system%\libcintles3.dll (Win32.Troj.MsnBot.ac.331728)

2.加载启动项

病毒会把DLL加载到注册表中自启动 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

3.传播

病毒寻找MSN的窗口,并尝试本机区域设定,发送相应的语言的问候语,之后把自身附加在问候语之后,病毒自带的问候语有以下几种语言: 

英语
法语
西班牙语
意大利语
荷兰语
中文
瑞士语
            德语

如中文的问候语有以下: 

NI HE WO !!! .... QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN :o !!
'YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
            ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!

病毒附加的文件名如下: 

images**.zip
new images**.zip
album**.zip
            new album**.zip
(*为随机数字)

对方一但运行就会受到病毒感染。

4.连接远程机器

病毒会连接远程IRC,发送受感染机的情况,地址为 john.*****people.net。

局域网爆发新MSN病毒 发送汉语拼音信息(图一)

局域网爆发新MSN病毒 发送汉语拼音信息(图二)

局域网爆发新MSN病毒 发送汉语拼音信息(图三)
更多文章 更多内容请看QQ病毒校园网专题局域网专题,或进入讨论组讨论。
更多专题 【深 度 阅 读】 相 关 文 章
收藏此文】【 】【打印】【关闭
较早的文章:蠕虫Win32.Looked.BA感染文件 通过共享传播

较新的文章:17日病毒预警 灰鸽子之后小心茱丝病毒
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
巧巧读书宗旨
相关专题
更多排行>>
讨论组问题推荐
站内各频道最新更新文档
站内最新制作专题
热门关键字导读
Photoshop教 程照片处理 照片制作 PS快捷键 抠图
计 算 机 故 障XP系统修复
艺 术 与 设 计设计 流媒体 设计欣赏 边框
计 算 机 安 全ARP
站内频道文章精选
新闻资讯
操作系统
桌面开发
数据库
电脑技巧
常用软件
网络程序开发
图像处理
巧巧电脑频道编辑信箱  告诉我们您想看的专题或文章