通过MSN传播的IRCBot myphotos2007.zip newsystem25.dll 解决方案
今天中了个这个,一个客户发来的,我没多想就接收了。
还好是个虫子,没什么太大影响。不过还是找了方法把它干掉了。
msn的photo系列病毒,我中过两次了….=.=
PS:卡巴拿它无效。貌似这个病毒写的比较简单,而且本体是一个65k的 .com文件。一般杀毒软件默认对.com后缀文件的检测规则是检测64k以下的…
这里是解决方案,很新的病毒变种,貌似就是今天出来的…
1. 删除病毒创建的ShellServiceObjectDelayLoad启动方式:
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
“prodigy1″=”{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}”[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@=”newsystem25.dll”2. 重新启动计算机
3. 删除病毒文件:
%Windows%\myphotos2007.zip
%System%\newsystem25.dll
%UserProfile%\new.txt(可能存在)
摘自 C.I.S.R.T. 论坛, 完整信息在这里
MSN病毒
今天MSN上的好友给我发来个名为 photo.zip的包,本来就蛮熟的,我就毫不犹豫接了下来。打开后卡巴斯基报警:木马程序 Backdoor.Win32.IRCBot.aaq。
google了一下,才知道这个是IRCBot的一个新变种,貌似最近几天比较火。总之大家用MSN的话,要小心咯。
My Flickr
del.icio.us share- Greader Share
