安全响应·Security
病毒分析报告·Report

Backdoor.Win32.IRCBot.axj分析

出处:安天病毒分析组 时间:2008-02-04 10:30

病毒标签:

病毒名称: Backdoor.Win32.IRCBot.axj
中文名称: MSN机器人
病毒类型: 后门类
文件 MD5: B8A43A5B38BE871CDDA0CC52AD034860
公开范围: 完全公开
危害等级: 5
文件长度: 脱壳前59,895 字节,脱壳后401,408 字节
感染系统: Windows9x以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 未知壳
病毒描述:

  该病毒运行后,衍生病毒副本到系统目录下,添加注册表自动运行项以跟随系统引
导病毒体。病毒体判断本地是否有MSN 窗体存在,如无则连接IRC服务器,接收指令下
载病毒体到本机运行,如有则向所有联系人发送病毒副本New-Year2008-imgaes.zip。
由于病毒体具有执行IRC指令的功能,受感染用户可被控制下载任意程序到本机执行,
极具危害性与传播性。
行为分析:

本地行为:

1、文件运行后会衍生副本:

    %WinDir%\New-Year2008-imgaes.zip
    %WinDir%\msmsgrsu.exe
  
2、新增注册表:

    HKEY_LOCAL_MACHINE\SOFTWARE
    \Microsoft\Windows\CurrentVersion\Run\
    键值:MsnLiveMessenger
    字符串: "msmsgrsu.exe"

3、随机选取文本信息以诱使联系人接收病毒体,病毒体内的字符序列如下:

    "Heeey :) <3 Check out theese New year p"...
    "Happy new year xD! :D see"
    "New year + Christmas pictures! :D"
    "you gotta see this, me in my noughty sa"...
    "Hey, have u seen these Christmas images"...
    "Check theese out, Christmas + New year!"...
    'Check theese out, Christmas + New year!',0
    'Hey, have u seen these Christmas images?',0
    'you gotta see this, me in my noughty santa suit!! :P',0
    'New year + Christmas pictures! :D',0
    'Happy new year xD! :D see',0 ;
    'Heeey :) <3 Check out theese New year photos!',
    '\New-Year2008-imgaes.zip'

4、连接的IRC服务器名称:
    
    secure.bindshell.info

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32                
    
清除方案:
 

1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载:www.antiy.com 。 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。  
    (1)使用安天防线2008“进程管理”关闭病毒进程msmsgrsu.exe。
    (2)删除病毒文件:
     %WinDir%\New-Year2008-imgaes.zip
     %WinDir%\msmsgrsu.exe
    (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
     KEY_LOCAL_MACHINE\SOFTWARE\Microsoft
     \Windows\CurrentVersion\Run\
     键值:MsnLiveMessenger
     字符串: "msmsgrsu.exe"  

附:
 


点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net
[TOP]