病毒名称：Backdoor.Win32.IRCBot.acd（Kaspersky） 　　病毒大小：118,272 字节 　　加壳方式：PE_Patch NTKrnl         　　样本MD5：71b015411d27794c3e900707ef21e6e7 　　样本SHA1：934b80b2bfbb744933ad9de35bc2b588c852d08e 　　发现时间：2007.7 　　更新时间：2007.7 　　传播方式：通过MSN传播 　　技术分析 　　病毒向MSN联系人发送消息和伪装成照片的带毒压缩包，对方联系人接收并打开压缩包中的病毒文件时系统被感染。 　　病毒发送给MSN联系人的病毒压缩包文件名不固定，发送的消息里有汉语拼音。 　　病毒被运行后在系统目录%Windows%生成包含自身副本的ZIP压缩文件，文件名不固定，由以下字符加随机数字组成： Code: images photos2007_ album photo photo_album image0 例如： 　　photos2007_79.zip (photos2007_79.scr) 　　photo12.zip (photo12.scr) 　　创建病毒副本： 　　%System%\msn.exe 　　释放dll注入进程： 　　%System%\notice.dll 　　创建ShellServiceObjectDelayLoad启动方式： 　　 Code: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "modems"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] @="notice.dll" 　　注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID，病毒产生的这段CLSID不固定，如：{8EA5A050-8F75-4443-9830-9949156E066F} 　　病毒根据染毒系统的语言给MSN联系人发送相应的文字消息，同时发送带毒ZIP压缩包： Quote: Hey please look at me and my pet ..  :p Looking for hot summer pictures  ? well here they are !! (h) Look at me and my volleyball team, working our asses offff (h) Hey please look at me and my pet .. :p Psssssst .... just between me and you, please accept :$ This is me totaly naked :o please dont send to anyone else bak sana  Paris Hilton ne hale gelmis hapiste :( Sen ve Ben !!! .... BAK :p Baksana benim fotograflara hihi :p Hey benim fotolarimi kabul et :o !! Iyi arkadasimla fotorafdayim :$ !! benim bu ciplak fotoda :o ama baskasina yollama Regarde les tof de mes vacances en tunisie loool Toi et moi !!! .... regarde :p hey stp regarde mes tof ! Hey s'il te plait accepte mes photos :o !! Une tof de moi et ...:$ !! Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :( Jij en Ik !!!! .... kijk :p Kijk eens naar mijn fotos hihi :p HEY !! accepteer mn fotos dan ! met mijn beste vriend op de foto !! :$ Dit ben ik naakt op de foto, stuur alsjeblieft niet door. guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist :( du und ich !!! ....guck :p siehe meine fotos hihi :p hey bitte nimm meine fotos an :o !! ein foto mit meinem besten freund und mir :$ !! das bin ich total nackt :o bitte sende es niemand anderem Guarda come Paris Hilton sprecato ? dopo che era imprijonata :( Tu ed io !!! .... guarda :p Guardi le mie foto hihi :p Mairee photos accept karo :o !! Una foto con me ed il mio amico migliore :$ !! Questa e me totaly nudo :o prego non trasmette a chiunque Veja como Paris Hilton est?acabada depois de ter sido presa :( Voc?e eu !!!! .... Veja :p Veja as minhas fotos hehehe :p Por favor aceite as minhas fotos :o !! Uma foto com o meu melhor amigo e eu :$ !! Esta sou eu totalmente nua :o por favor n鉶 mande isso pra ningu閙 kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :( NI HE WO !!! .... QING KAN :p KAN WO DE ZHAOPIAN :p JIESHOU WO DE ZHAO PIAN :o !! YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !! ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !! Kolla hur f鰎st鰎d Paris Hilton 鋜, efter att hon f鋘gslades :( Du och jag !! .... Kolla ;) Kolla p?min bilder, hihi :p Hey, acceptera mina bilder, sn鋖la :o En bild p?mig och min b鋝ta v鋘 :$ !!! Detta 鋜 jag HELT naken.. :o Skicka inte till n錱on annan, sn鋖la... Mira c髆o Paris Hilton es perdida despu閟 de ser encarcelada :( Usted e yo !!! .... Mira :p Mira mis fotos jejeje :p Ha aceptado mis fotos por favor :o !! Una foto con mi mejor amigo e yo :$ !! Esta soy yo totalmente desnuda :o por favor no env韆 para nadie Lede hvor spild Paris Hilton er efter hun fik f鎛gsel :( Jer og Mig !!! ... se :p Se p?min fotos :p Hej behage optage min foto :o !! EN foto hos mig og min bedst ven :$ !! denne er mig hele bar behage vage vendlig og sende den ikk til nogle :o 尝试连接远程IRC：john.free4people.net 　　清除步骤 　　========== 　　1. 删除病毒的启动方式(开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作)： 　　 Code: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "modems"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" 以及对应的： 　　 Code: [HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] @="notice.dll" 　　2. 重新启动计算机 　　3. 删除文件 　　%System%\msn.exe 　　%System%\notice.dll 　　%userprofile%\new.txt 　　%userprofile%\{6位随机字母}.exe 　　以及%Windows%目录下文件名由以下字符和随机数字组成，文件大小约116KB的病毒压缩包文件： 　　 Code: images 　　photos2007_ 　　album 　　photo 　　photo_album 　　image0 　　例如： 　　photos2007_79.zip (photos2007_79.scr) 　　photo12.zip (photo12.scr)