Shunze 學園 >電腦資訊學系 >病毒追追追 > 《分享》如何解MSN病毒IMG-0012.zip 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2328

shunze 離線
《分享》如何解MSN病毒IMG-0012.zip引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

最近流行一隻MSN病毒,中毒的人會主動發送病毒給MSN清單上的聯絡人。

這隻病毒傳播的手法其實很簡單,先隨機送出一個問候語,然後緊接著送出一個夾有病毒檔案的壓縮檔IMG-0012.zip吸引人去打開它。



它的問候語資料庫如下↓

引用
ay no ese pelo fue lo mas chistoso...q
estabas pensando jajaja yo me recuerdo cuando tuvistes el pelo asi
oye ponga esa foto en tu myspace
como la foto principal voy a poner esa
foto de nosotros en mi blog ya
esa foto de tu y yo la voy a poner en myspace
hola esas son las fotos
jaja debes poner esa foto como foto principal en tu myspace o algo : D
oye voy a agregar esa foto a mi blog ya
jaja recuerda cuando tuviste el pelo asi
oye voy a poner esa foto de nosotros en mi myspace :->
Per favore nessuno lasciare vede le nostre foto
Io ricordo quando abbiamo portato questa foto
Caricher?questa foto al mio myspace adesso
Qui sono il fotos di ci jaja lei dovrebbe fare
quest'il suo pic predefinito sul myspace o qualcosa : D
metta questi fotos in suo pagina myspace
ehi aggiunger?quest'immagine di noi al mio weblog
jaja ricordo quando lei aveva i suoi capelli come questo
ehi metter?quest'immagine di noi sul mio myspace :>
m?hten den pics von meinen Ferien sehen?
Wimmern! Blick auf diese alte Abbildung, die ich: fand
he ich zeige Ihnen diese Abbildung von mir ﯥrhaupt?
Haha sollten Sie dieses Ihre R‰kstellung auf myspace oder etwas pic bilden: D
he werde ich diese Abbildung von uns meinem weblog hinzuf?
lol erinnern sich, an als Sie pflegten, Ihr Haar so zu haben
he werde ich diese Abbildung von uns auf mein myspace setzen
wil je fotos zien van mijn vakantie wow!
moet je eens kijken welke foto ik nu gevonden heb
he heb je ooit deze foto laten zien ?
haha you moet die je standaard foto maken op hyves of myspace
hey ik voeg deze foto van ons ff toe op mijn weblog
lol ik kan me nog herrinneren toen je haar zoals dit had
Hey i zet deze foto van ons even op mijn myspace
d??aut de la reproduction sonore !
regard ?cette vieille image que j'ai trouv?~ : |
mes photos chaudes : D
haha vous devriez rendre ceci votre d??aut pic sur le myspace ou quelque chose : D
j'ai fais pour toi ce photo album tu dois le voire : p
h?veux tu voir mes image de vacance??
le lol se rappellent quand vous aviez l'habitude
d'avoir vos cheveux comme ceci h?je vais mettre cette image de nous sur mon myspace :>
Check out my nice photo album. : D
wanna see the pics from my vacation? :>
Nice new photos of me and my friends and stuff and when i was young lol...
lol remember when you used to have your hair like this
My friend took nice photos of me.
you Should see em loL!
hey i'm going to add this picture of us to my weblog
Here are my private pictures for you


說實在的,很難想像朋友會中這隻病毒。
因為不管怎麼看,它的散佈行徑明明就很清楚的告訴他人“我是病毒”...
結果還是有人中!?
(唐小妹,你真是太沒有戒心了...)


查了一下,這隻病毒會複製以下的檔案,
C:\windows\system\lsass.exe
C:\windows\IMG-0012.zip
然後打開防火牆,把自己排除在防火牆的控制中。
同時在註冊機碼中的自動啟動項目run中,加入自己。
只要使用者一上線,就會主動傳播病毒IMG-0012.zip給清單上的聯絡人!


參考C.I.S.R.T.論壇,他們認為解毒有五個步驟。
  1. 删除病毒在註冊機碼中建立的啟動項目。
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Lsass Services"="%Windows%\system\lsass.exe"
    ↑要刪掉這個鍵值
  2. 重新開機,這樣才能刪除以下第3步驟中的的兩個病毒檔。
    否則執行中的病毒程式是無法刪除的。
  3. 删除病毒檔案。
    C:\windows\system\lsass.exe
    C:\windows\IMG-0012.zip
  4. 删除被病毒加入Windows防火牆的例外項目“Windows Sharing”。
  5. 恢復Timeout時間為2000,機碼位置如下:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
    "WaitToKillServiceTimeout"="20000"

而順子我呢就好人做到底,把以上這五個步驟寫成批次檔,
使用者只要執行一次後重開機,再執行一次就可以了∼

完整程式碼如下:
@echo off
cls

echo "刪除系統碟中的中毒文件。"
DEL %windir%\system\lsass.exe /F /Q /A R H S A >nul 2>nul
DEL %windir%\IMG-0012.zip /F /Q /A R H S A >nul 2>nul

echo "清理註冊表中相關項目。"
@echo Windows Registry Editor Version 5.00 >C:\fixMSN.reg
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>C:\fixMSN.reg
@echo "Windows Lsass Services"=- >>C:\fixMSN.reg
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] >>C:\fixMSN.reg
@echo "%systemdrive%\\WINDOWS\\system\\lsass.exe"=- >>C:\fixMSN.reg
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control] >>C:\fixMSN.reg
@echo "WaitToKillServiceTimeout"="20000" >>C:\fixMSN.reg

regedit.exe /s C:\fixMSN.reg

echo "刪除解毒過程中產生的檔案。"
DEL C:\fixMSN.reg >nul 2>nul

echo "解毒完成,請重新開機。"
pause


你可以把以上程式碼複製下來,貼在記事本另存副檔名為bat的批次檔;
或是下載本文的附加檔,解壓後,直接滑鼠點兩下執行它進行解毒。

為什麼要重開機,再執行一次呢?

在解毒第 2 步驟中有說,執行中的病毒是無法刪除的。
除非你有辦法像順子一樣精確的在工作管理員中停止病毒的lsass.exe程式,那麼就不用重開機!
(Windows系統有一個真的lsass.exe程式,路徑是在C:\windows\system32\lsass.exe。
病毒程式是C:\windows\system\lsass.exe;
系統程式是C:\windows\system32\lsass.exe。
在工作管理中,兩個看起來一模一樣的程式lsass.exe,你有辦法辨別何者為真?何者為假嗎?)


所以還是乖乖聽話,先執行一次批次檔,停止病毒的呼叫程序;
重開機後,在病毒未執行的狀態下,再執行一次徹底殺乾淨∼

shunze 上傳的檔案
img0012.zip (1 KB, 已經被下載 2278 次)


♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2007-09-21, 16:02 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2328

shunze 離線
《注意》病毒IMG-0012樣本引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

附加檔是這支MSN病毒的樣本。
(解壓縮密碼為 virus )

小心!解壓後執行堶悸槐mg0012-www.photostorage.com就會中毒!

shunze 上傳的檔案
IMG-0012.rar (23 KB, 已經被下載 1536 次)


♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2007-09-21, 16:40 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2328

shunze 離線
《其它》阿呆病毒有變種...引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

很難相信,這麼阿呆的病毒又有幾乎一模一樣的變種?
而且更阿呆的是...一樣有人會中...

目前這隻病毒改了附加檔案名稱,繼續流行中..
既然是變種,手法自然大同小異,先傳來一段英文,然後要你收傳來的照片壓縮檔(病毒檔)。
沒有戒心的好奇寶寶解壓→執行堶悸瑰仵蚴寣A就中毒了...


這個變種病毒的檔案路徑如下:
%windir%\system\dllcache\jucheck.exe
而其病毒壓縮檔則聰明了,不再是固定名稱,隨機亂數決定,路徑如下:
%windir%\picts_XXXX.zip
(其中XXXX為數亂)

同樣的病毒會在防火牆中,把自己排除在外∼

解毒批次檔的程式碼如下:

@echo off
cls

echo "刪除系統碟中的中毒文件。"
DEL %windir%\system\lsass.exe /F /Q /A R H S A >nul 2>nul
DEL %windir%\system\dllcache\jucheck.exe /F /Q /A R H S A >nul 2>nul
DEL %windir%\IMG-0012.zip /F /Q /A R H S A >nul 2>nul
DEL %windir%\picts*.zip /F /Q /A R H S A >nul 2>nul

echo "清理註冊表中相關項目。"
@echo Windows Registry Editor Version 5.00 >C:\fixMSN.reg
REM IMG-0012.zip型病毒
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>C:\fixMSN.reg
@echo "Windows Lsass Services"=- >>C:\fixMSN.reg
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] >>C:\fixMSN.reg
@echo "%systemdrive%\\WINDOWS\\system\\lsass.exe"=- >>C:\fixMSN.reg

REM PICT-***.zip型病毒
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>C:\fixMSN.reg
@echo "jucheck"=- >>C:\fixMSN.reg
@echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] >>C:\fixMSN.reg
@echo "%systemdrive%\\WINDOWS\\system32\\dllcache\\jucheck.exe"=- >>C:\fixMSN.reg
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] >>C:\fixMSN.reg
@echo "%systemdrive%\\WINDOWS\\system32\\dllcache\\jucheck.exe"=- >>C:\fixMSN.reg

REM 通用參數
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control] >>C:\fixMSN.reg
@echo "WaitToKillServiceTimeout"="20000" >>C:\fixMSN.reg
@echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control] >>C:\fixMSN.reg
@echo "WaitToKillServiceTimeout"="20000" >>C:\fixMSN.reg

regedit.exe /s C:\fixMSN.reg

echo "刪除解毒過程中產生的檔案。"
DEL C:\fixMSN.reg >nul 2>nul

echo "解毒完成,請重新開機。"
pause

將以上程式碼儲存為附檔名 bat 的批次檔後,
先執行一次,然後重開機;重開機後,再執行一次就可以了∼

完整的批次檔已更新在本討論串第一篇的附加檔案中。
看不懂怎麼另存批次檔的朋友,可以直接下載第一篇的附加檔,解壓縮後使用。


本篇的附加檔是病毒樣本!
有毒!請小心使用∼

(解壓縮密碼為 virus )

shunze 上傳的檔案
picts-XXXX.rar (48 KB, 已經被下載 1609 次)


♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2007-09-29, 17:22 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR