MSN圣诞虫详细分析报告

铁军

目前该病毒还有新变种出现

病毒名：Worm.MsnBot.vx.56065

描述：
这是一个通过Msn传播的病毒，在圣诞节期间爆发。该病毒会连接IRC聊天室，由IRC聊天室接受黑客指令进行远程控制，使用户文件、资料、信息等面临被盗或用户主机成为“肉鸡”的威胁。该病毒会向msn好友发送“Chirstmas-2007.zip”文件，用户运行解压后的文件中毒。建议用户不要轻易运行聊天工具接受的样本。

1，生成文件
%windir%\Chirstmas-2007.zip
%windir%\servidevice.exe

2，添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ryan1918" = "%windir%\servidevice.exe"

3，主要危害
连接IRC聊天室，接受黑客指令进行远程控制，黑客可以盗取用户重要资料、网游帐号等信息。用户主机也有沦为“肉鸡”的可能。

4，关闭杀毒软件如Symantec Anti-Virxxus。

5，向msn好友发送病毒文件  Chirstmas-2007.zip 并随机发送以下消息,欺骗好友接收病毒
Christmas photo! :D
vengo de fi este foto lbum
Hey i que hace el lbum de foto! Si vea el loL del em
xmas photo!: D
haha :D
lol, christmas pictures off me
hola, My Christmas picture for you :)

6. 每隔 5 秒尝试登录IRC服务器: irc.pNet.com，以随机命名和空密码用户登入

7. 远程连接 211.115.112.76  端口 81 (secure.bindshell.info).