MSN最新变种(nppsvc.exe,picture017.JPEG_www.facebook.com)病毒分析

出处:超级巡警团队 时间:2007年1月29日

    超级巡警团队监测到MSN蠕虫最新变种已经传播开来,它会给MSN上的好友发送名字中带有facebook字样的附件。并通过连接IRC服务器下载其他恶意程序。超级巡警团队提醒广大用户不要轻易下载并运行利用MSN传播的程序。
一、病毒相关分析:
 
    病毒标签:
        病毒名称:Backdoor.Win32.IRCBot.bgh
        病毒别名:MSN蠕虫
        病毒类型:蠕虫
        危害级别:3
        感染平台:Windows
        病毒大小:83,456(字节)
        SHA1  :18511d687a66a036abf6dc8e2b5fd0e95e4aeb13
        加壳类型:EXECryptor
        开发工具:VC

    病毒行为:
        1、复制自身为%System%\nppsvc.exe
          连接IRC服务pool.hybridtx.com接收下载恶意程序的链接。
          下载文件facebook*.zip到%Temp%目录   
          //压缩包中文件为picture0*.JPG_www.facebook.com,以上*为数字
          添加注册表项
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
          "Windows Audio Panel"="nppsvc.exe"
        2、下载恶意程序
          http://mashup.*****.kasserver.com/downloads/XpSo.exe
          http://www.*****.dk/includes/js/rs2.exe
          http://www.*****r.com/img/gen04.exe
          以上文件运行后还会释放文件:
          %System%\urqqoml.dll   38,400(字节)  //此文件件名为随机七位字母组合
          该文件插入系统进程winlogon.exe
          %System%\hgdbb.dll    334,336(字节)  //此文件件名为随机五位字母组合
          其中文件XpSo.exe复制到%Temp%\14.exe并添加注册表项
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
          "NvGraphicsInterface"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\14.exe"
        3、读取链接下面链接指向的文件
          http://www.timbercreeksoftware.com/_vti/vti.txt
          文件内容如下:
          do I look ugly in this pic?
          checkout my new car!
          look at my ears here lol
          do you think this picture of me is ugly?
          Hey, is this your picture?
          look at my new jeans I just got
          you want my new picture? ;)
          this person just looks like you!
          this is getting selled in myspace check it out!
          I just made your face double check it out lol
          is it ok if I add this picture of us to my eblog?
          do you like this picture of us?
          this is a new pic of me accept it :)
          This look good enough for my default?
          I want you to have this pic :) u and me
          Damn I think this looks goood!
          This can't be you.... right?
          take a look at this pic... omg!!
          I got a very old picture of you.. check it :)
          o_O this picture is amazing
          isn't this one of your friends?
          checkout my new picture
          Hey, want to see a picture of us? accept :)
          My new camara pic omg its nice!
          do you mind if I add this picture of us to my album?
          并根据在文件中随机选择语句发送给MSN好友,同时发送压缩包文件facebook*.zip  //*为随机数字

二、解决方案
  推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
    超级巡警下载地址:http://www.dswlab.com/d1.html
三、安全建议

    1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
    2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
    3、使用超级巡警的补丁检查功能,及时安装系统补丁。
    4、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
    5、禁用不必要的服务。
    6、及时更新常用软件,尤其是聊天工具。
    7、不要随便打开不明来历的电子邮件,尤其是邮件附件。
    8、不要随意下载不安全网站的文件并运行。
    9、下载和新拷贝的文件要首先进行查毒。
    10、不要轻易打开即时通讯工具中发来的链接或可执行文件。
    11、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
 

注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
   量指%Windir%\System32。其它:
       %SystemDrive%           系统安装的磁盘分区
       %SystemRoot% = %Windir%   WINDODWS系统目录
       %ProgramFiles%        应用程序默认安装目录
       %AppData%               应用程序数据目录
       %CommonProgramFiles%      公用文件目录
       %HomePath%              当前活动用户目录
       %Temp% =%Tmp%           当前活动用户临时目录
       %DriveLetter%           逻辑驱动器分区
       %HomeDrive%            当前用户系统所在分区

 

    超级巡警:彻底查杀各种木马,全面保护系统安全。
    更多免费工具下载:http://www.dswlab.com
    专业的桌面与内容安全产品:http://www.unnoo.com

Copyright(c) DSW Lab All rights reserved