MSN机器人新病毒解决方案

黑色利剑

MSN机器人新病毒解决方案

一下内容摘自金山铁军blog：
昨天一朋友的MSN中招，发来个新的附件，附件为img807.zip，查看该压缩包，发现一完整文件名为img807.jpg-www.photoalbums.com，千万别双击哦。这是最新的MSN机器人病毒，病毒名为Win32.Troj.MsnBot.ce.86528。珠海引擎组的兄弟说，该病毒有利用MSN传播的代码，但是代码中并没有调用，因此不会象前几次MSN机器人病毒一样，不会引发大面积的传播。但同时，他提醒说，这个病毒有可能出现更新的版本。

该病毒主要会释放一个IRC后门，接受黑客远程指令。病毒会关闭windows 安全中心服务，在虚拟机中拒绝运行，以此逃避被部分反病毒业余爱好者检测分析。

以下是该病毒的详细分析报告：

1：拷贝自己与释放文件
病毒运行后，会把自己拷贝到系统目录下
%Windows%\\vpcrtf.exe
并加入一个zip头保存自己
%Windows%\\img807.zip

2：添加自启动
病毒会添加自启动
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
Microsoft Virsual Application = vpcrtf.exe

3：连接IRC
病毒会连接IRC，接受黑客指令
IRC地址为vpn.base****.info
接受指令：
ERROR
PRIVMSG
KICK
TOPIC
332
366
005
376
422
433

4：发送本机信息
病毒会尝试向IRC发送受感染机器的信息，如IP、机器名等。

5：关闭服务
病毒会关闭服务名为Security Center与 winvnc4的服务。

6：反虚拟机
病毒使用了利用了3种方法反虚拟机，当检测到虚拟机时就直接退出。

85208520

杀了-------------

微点卫士

原帖由 85208520 于 2007-8-21 14:06 发表
杀了-------------

你用的是什么杀软，把杀掉的报告拿上来看下 ，在茶社灌水可以，不要来这里灌，你的回复最多5个字然后------------
大家可以翻看一下他的回复，无聊的很。

zhouzhaomi

中了中了

微点卫士

原帖由 zhouzhaomi 于 2007-8-23 19:50 发表
中了中了

贴几个症状图来看看