通过MSN传播的IRCBot myalbum2007.zip sysprinters.dll 解决方案

病毒名称：Backdoor.Win32.IRCBot.acd（Kaspersky）
病毒别名：Backdoor.Win32.IRCbot.w（瑞星）
　　　　　 Win32.Hack.MSNBot.ac.52736（毒霸）
病毒大小：52,736 字节
加壳方式：
样本MD5：ee3ed79ffb63344b6e50458b68a7814a
样本SHA1：15b1e629ef96ff8cba3fee127b8abc8a88b3f9df
发现时间：2007.7.2
更新时间：2007.7.2
关联病毒：
传播方式：通过MSN传播


技术分析
==========

变种：
通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案
通过MSN传播的IRCBot photo album.zip rdfhost.dll 解决方案
通过MSN传播的IRCBot photo album.zip rdihost.dll 解决方案
通过MSN传播的IRCBot photos.zip syshosts.dll 解决方案

病毒通过MSN传播，向MSN上的联系人发送虚假消息，同时将自身压缩包伪装成照片发送过去（如图），如果对方接受并打开压缩包中的病毒文件，那么系统将被感染。和之前变种一样，新变种仍然通过ShellServiceObjectDelayLoad加载。



病毒运行后在系统目录生成包含自身副本的ZIP压缩文件：
%Windows%\myalbum2007.zip
其中包含的文件名是photo album-2007.scr，释放出来后可见图标如图：

释放一个dll文件注入进程：
%System%\sysprinters.dll

在注册表ShellServiceObjectDelayLoad处创建启动方式：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"system32"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="sysprinters.dll"

注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID，病毒产生的这段CLSID不固定，如：{72E56A20-CFEE-4DD8-A10D-F1A43CBE46A2}

向MSN上的联系人发送信息：

Here are my very secret pictures for you.
Here are my pictures from my vacation
hmm is this you on the photo ?
Check out my pics from my workplace.
Nice new photos of me and my friends and stuff...
ahh look this is my greatest picture made on vacation 2007, take a look
Check out my nice photo album.
hey regarde les tof de notre bande de fous. :p
hey c'est toi dans ces tof!!???
hey regarde les tof, c'est moi et mes copains entrain de....
j'ai fais pour toi cet album de photos tu dois le voire :p
stp regarde cet album de photos je lai fais specialement pour toi et mes amis...
mes photos chaudes
t'as pas encore vu ces tof???
hey kijk eens naar mijn nieuwe foto album
hey bekijk eens mijn nieuwe foto album
hmm ben jij dit op de foto ?
hey kijk ! dit is een lijst van mijn nieuwste fotos !!
ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens :p
kijk dit zijn fotos van mij werkplek!
hmm ben jij dit op de foto ?
meine hei遝n Fotos ! :p
le mie foto calde :p
mis fotos calientes mi fotograf韆s :p
Mi amigo tom?las fotos agradables de m?:p
mis fotos calientes
el lol mi hermana quisiera que le enviara este 醠bum de foto

同时将%Windows%\myalbum2007.zip发送给联系人。

病毒还会尝试连接远程IRC：www.free4people.net

[ 本帖最后由 卖身葬情人 于 2007-7-4 20:26 编辑 ]

木马 visin.exe TIMPlatform.exe 解决方案

病毒名称：Trojan-Downloader.Win32.Small.czl（Kaspersky）
病毒别名：Trojan.PSW.Win32.LMir.hrq（瑞星）, RootKit.Win32.CallGate.b [sys]（瑞星）
　　　　　 Win32.Hack.Unknown.114688（毒霸）
病毒大小：25,617 字节
加壳方式：NSPack
样本MD5：67ffbf4f7dfd28fb4f28830595fd6333
样本SHA1：055520e4d4e24366c819e2ed14af5498abc01240
发现时间：2007.6
更新时间：2007.6
关联病毒：
传播方式：恶意网页、其它病毒下载


技术分析
==========

变种：
木马 twunk32.exe TIMPlatform.exe TIMPlatfrom.exe 解决方案
木马 ctfnom.exe TIMPlatform.exe TIMPlatfrom.exe 解决方案
木马 ctfnom.exe TIMPlatform.exe 解决方案

木马运行后常驻内存，复制自身到系统目录下：
%System%\visin.exe

释放驱动文件：
%System%\drivers\usbinte.sys

创建启动项：


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"visin"="%System%\visin.exe"

替换QQ目录下TIMPlatform.exe文件，将原TIMPlatform.exe重命名为TIMPlatfrom.exe，使用病毒副本创建新的TIMPlatform.exe，这样就使得QQ每次运行时都会加载木马程序。

网游木马 Kvsc3.exe Kvsc3.dll 解决方案


病毒名称：Trojan-PSW.Win32.OnLineGames.zl（Kaspersky）
病毒别名：Trojan.PSW.Win32.OnlineGames.cql（瑞星）, Trojan.PSW.Win32.SunOnline.f [dll]（瑞星）
　　　　　 Win32.Troj.PSWGameT.lk.17408（毒霸）, Win32.Troj.PSWGameT.xk.17408 [dll]（毒霸）
病毒大小：22,528 字节
加壳方式：
样本MD5：7f14320161a8e7530c719965a6b8adbd
样本SHA1：a4d7132acbdedee2e7765a6d7c34e1559c8cc1ca
发现时间：2007.6
更新时间：2007.6.27
关联病毒：
传播方式：恶意网页、其它病毒下载


技术分析
==========

木马运行后复制自身到系统目录：
%Windows%\Kvsc3.exe
释放dll注入进程：
%System%\Kvsc3.dll
（注：如果Kvsc3.dll已经存在，木马释放的dll会以随机字母作为文件名，比如olnryh.dll、ojprzc.dll）

木马创建的启动项：


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kvsc3"="%Windows%\Kvsc3.exe"

Wowexec.tmp病毒解决方案

Wowexec.tmp病毒是这几年来，是厉害的一个，从本月16开始陆续感染，现在已经过去11天，但是该到底由什么文件产生，生成什么文件，病毒的主文件是什么？至今包括我在内都很糊涂！所以我现在写的解决方案也只能治标，无法从原理上、根本上去解决！

我是25号中的，而且中的是Wowexec.tmp病毒的改良版，这个版本是20左右才出现的！由于该病毒太厉害，所以我经过奋力的拼杀无果，最后来了一个狠的，才总算搞定的！

中Wowexec.tmp病毒的表现
1.开始菜单中及资源管理器中的图标，没有图片了，只剩下一个小箭头！
2.任务栏管理器中，总有四到五个莫名其妙的进程！
3.系统分区空间越来越少
4.内存越来越不够用，机子越来越慢
5.杀毒软件打不开
6.总是不断地下载到硬盘中乱七八糟的文件

Wowexec.exe病毒会陆续下载与释放的文件
1.C:\Program Files\ SVHOST32.EXE
2.C:\Documents and Settings\你的管理员用户名\Local Settings\Temp\Wowexec.exe,Mediasups.exe 还有一大堆随机产生垃圾文件，严重造成系统分区空间不足
3.任务栏管理器中多出的进程为：Wowexec.exe, FpwoEs.exe, Yvpxmn.exe,PGITPR.exe TNuloD.exe(注意除了第一个，其它为随机产生，这些文件放在Temp下面)
4.C:\Windows\Temp\\Wowexec.exe,Mediasups.exe（注意这个两文件与上面的文件一样，只不过位置不一样）
5.下载可执行文件并执行，也是在Temp下，如ZTS22.exe  mhs2.exe rxzs.exe wlzs.exe
6.产生C:\Windows\System32\Itdll.dll msdll.dll bwdll.dll dllf.dll windds32.dll windhcp.ocx winds32.dll dllwin.dll等文件
7.不断连接到WWW.dosboy.com上，并不断下载病毒文件
8.有人说，在C:\Program Files\Internet Explorer\2sy.exe 5sy.exe 6sy.exe 这个我没有
9.有人说，在C:\Windows\Intel\rundll32.exe Svhost32.exe这个我也没有
10.有人说，在C:\Windows\System32\Winntup.dll同样，这个我也没有
11.在服务中，增加服务ZJIV（发现时，已经被我删除，所以缺少相关资料）
12.在服务中，增加服务Win32 Display Driver 服务名称为Win32DDS，并改为自动(怀疑为内奸）
13.在启动项增加｛729B6C61-BDC5-4C09-A1DE-A296BAOB89EC｝
14.在启动项增加｛08315c1A-9BA9-4B7C-A432-26885F78DF28｝
15.在C:\Windows\Net.com Regedit.com Cmd.com 这三个文件，我要特别说明一下，这三个病毒文件的大小是变化的，有时为1M多，有时仅为92K

winas.exe,Was.exe的清除指南

中毒症状:

系统开机以后CPU占用100%
基本是taskmgr.exe占用的. winas.exe文件出现问题

解决方法

1、杀毒前关闭系统还原：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式？重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
2 SRENG删除如下各项
方法 http://hi.baidu.com/teyqiu/blog/ ... 2346ec54e72351.html

启动项目 -->注册表
<Winas><C:\WINDOWS\system32\Winas.exe> [Microsoft Corporation]
启动项目 -->服务-->Win32服务应用程序
[Winas / Winas]
<C:\WINDOWS\system32\Was.exe><Microsoft Corporation>


3、 清除文件
C:\WINDOWS\system32\Winas.exe
C:\WINDOWS\system32\Was.exe