通过MSN传播的病毒IMG024.JPG.zip ehSched.exe解决教程(页 1) - 系统安全中心 - 星星电脑技术论坛电脑技术|QQ|DIY|网络|程序设计|l软件下载|病毒安全|电影|音乐|笑话|美女图片|广告

vista 发表于 2007-8-24 20:44

通过MSN传播的病毒IMG024.JPG.zip ehSched.exe解决教程

作者:海色の月　　文章出处:C.I.S.R.T.

病毒名称：Backdoor.Win32.Rbot.csm（Kaspersky）
　　病毒大小：37,888 字节
　　样本MD5：2a6458b5fc9214eaa9f3af82399a10a8
　　样本SHA1：7acd9a9111874c0c8f65207c022b33cdc4cc3c79
　　传播方式：通过MSN传播

　　技术分析
　　==========uy"`1HTx!L.?'xe

　　MSN蠕虫变种，向MSN联系人发送欺骗文字消息和带毒压缩包，当联系人接受并打开带毒压缩包中的病毒文件时系统受到感染。

　　病毒运行后复制自身到系统目录：-ZCf X J5z5w
　　%windir%\system\ehSched.exe5L:@j]ric;C
!j'A@N*]!m
　　生成包含自身的ZIP压缩包：
　　%windir%\system\IMG024.JPG.zip ZW Az*}5Xu
　　其中包含的病毒文件名是IMG024.JPG.com。+Z;D ryW;BT5`/m;x`

　　创建启动项：7G*W-n1G}\

u3B*_Q/V)fE8W$N
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehSched"="%Windows%\system\ehSched.exe"
{Y V[2T&Y5|
　　根据染毒系统语言向MSN联系人发送以下文字和带毒压缩包IMG024.JPG.zip：`&E7tc(i-BU{Nkk

　　尝试连接远程IRC：bitch2.saymai.name*G:g)j+kOE

　　通过修改注册表修改系统安全方面的一些设置：u*E}Z {~g

尝试删除管理共享：

]v"Sf.aNZ
　　C$-Z$2oJ l B/uD\+z4{
　　ADMIN$.{8^1r&@o6QNv
　　IPC$(] b|7D2r]4BU9J.Ze

　　结束以下服务进程：5~u u-TI&Y f
Wt(\`,H.J

　　Security Center
　　Windows Firewall/ICS
　　Remote Registry
　　Telnet
　　wscsvc
　　SharedAccess
　　Messenger
y;Ex.iE
　　删除Mydoom、Netsky、Bagle、Sobig、Blaster等蠕虫病毒的启动项。$}2BT%Dk

　　Mutex: 7xUxkP34

k hTS IR
　　清除步骤
　　==========
g]3ycB(w,}
　　1. 删除病毒启动项（开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作）：gk.n:vp$F4c
y:TlC-H#I.vK
0k3z{\AP4r}S

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehSched"="%Windows%\system\ehSched.exe"j,e-}%O"WF
&L!wpwQ,D#_
　　2. 重新启动计算机

　　3. 删除病毒文件（详细步骤：到down.45it.com下载IceSword120_cn.zip冰刃－打开－文件－依次找到病毒文件删除即可）：0b ]:L\ZF%J
%windir%\system\IMG024.JPG.zip3RUs QuH+^[ Y
%windir%\system\ehSched.exe G1}_ a.Xp&^_
$Z1Xxt:H tdGM:}
　　4. 恢复被病毒修改过的注册表信息，以下为CISRT建议设置数据内容（开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作）：

页: [1]

星星电脑技术论坛's Archiver

通过MSN传播的病毒IMG024.JPG.zip ehSched.exe解决教程