【Windows】如何刪除 MSN 病毒:img807.zip

今天收到朋友從msn自動寄來的檔案,因為我用mac,雖然我也收到了,但是我的Mac OS X並不會中毒,不過我的朋友她的電腦應該是中毒了,幫她在網路上面找一下解毒的方法,。

img807.zip vpcrtf.exe 解決方案

檔案編號:CISRT2007135
病毒名稱:Backdoor.Win32.IRCBot.zi(Kaspersky)
病毒別名
病毒大小:86,528 字節
加殼方式
樣本MD5:7299c5d5d5761779dfedfbd3808c8ed8
樣本SHA1:0fd4411e440c07e61090d6cf96b0ebb5dfa75512
發現時間:2007.8
更新時間:2007.8
關聯病毒
傳播方式:通過MSN傳播

清除步驟
==========

1. 刪除病毒創建的啟動項:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Visual Application"="vpcrtf.exe"

2. 重新啟動計算機

3. 刪除病毒文件:
c:\Windows\img807.zip
c:\Windows\vpcrtf.exe(這是隱藏檔喔!)


技術分析
==========

變種:
【CISRT2007039】通過MSN傳播的IRCBot photo album.zip rdshost.dll 解決方案
【CISRT2007040】通過MSN傳播的IRCBot photo album.zip rdfhost.dll 解決方案
【CISRT2007044】通過MSN傳播的IRCBot photo album.zip rdihost.dll 解決方案
【CISRT2007068】通過MSN傳播的IRCBot photos.zip syshosts.dll 解決方案
【CISRT2007079】通過MSN傳播的IRCBot myalbum2007.zip sysprinters.dll 解決方案
【CISRT2007101】通過MSN傳播的IRCBot notiffy.dll printers.exe 解決方案
【CISRT2007102】通過MSN傳播的IRCBot firewallav.dll printers.exe 解決方案
【CISRT2007103】通過MSN傳播的IRCBot images.zip rafba.dll 解決方案
【CISRT2007104】通過MSN傳播的IRCBot images.zip winlog32.exe 解決方案
【CISRT2007105】通過MSN傳播的IRCBot msn.exe libcintles3.dll 解決方案
【CISRT2007106】通過MSN傳播的IRCBot msn.exe notice.dll 解決方案
【CISRT2007107】通過MSN傳播的IRCBot intlprinters.exe libcintles3.dll 解決方案
【CISRT2007109】通過MSN傳播的IRCBot printers.exe msn.dll 解決方案
【CISRT2007110】通過MSN傳播的IRCBot libcinet.exe libwinets.dll 解決方案
【CISRT2007111】通過MSN傳播的IRCBot msnmsg.exe pic.zip 解決方案
【CISRT2007112】通過MSN傳播的IRCBot intlprinters.exe libcintle2.dll 解決方案
【CISRT2007130】通過MSN傳播的IRCBot svchost.exe img1756.zip 解決方案
【CISRT2007132】通過MSN傳播的IRCBot pics.zip s2.exe 解決方案
【CISRT2007133】通過MSN傳播的 PictureAlbum2007.zip prodigys323.dll 解決方案

病毒向MSN聯繫人發送消息和偽裝成照片的帶毒壓縮包,當對方聯繫人接收並打開壓縮包中的文件時系統受到感染。

病毒運行後在系統目錄生成包含自身的ZIP壓縮包:
c:\Windows\img807.zip
其中包含的病毒文件名為:img807.jpg-www.photoalbums.com

令創建病毒副本並運行:
c:\Windows\vpcrtf.exe

創建啟動項:
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Visual Application"="vpcrtf.exe"

使用c:\a.bat批處理停止「安全中心」和「WINVNC」服務:

@echo off
net stop "Security Center"
net stop winvnc4
del c:\a.bat

向MSN聯繫人發送消息和偽裝成照片的帶毒壓縮包%Windows%\img807.zip:

QUOTE:
Did you take this picture?
is that you on the left?
How drunk was I in this picture?
Is that your mom in this picture?
lol, your mom just sent me this picture?

連接遠程IRC:vpn.basecore.info


延伸閱讀:

留言

  1. 请问:怎么刪除病毒創建的啟動項:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Microsoft Visual Application"="vpcrtf.exe"
    具体如何操作呀?可以指教一下吗?我是电脑盲。。。谢谢了。

    回覆刪除
  2. 感謝格主提供破解法,感激不盡~!!

    回覆刪除
  3. @匿名:因為我是用mac,所以手邊並沒有windows可以測試,其他的FAQ,請到網路上面尋找你要的答案。

    回覆刪除

張貼留言

熱門文章