MSN自动发送文件photo album.zip, 小心接收

MSN也能自动发送, 另外那个 能者 当然是指QQ拉.
中午离线, 回来看到消息框里 Cherry 发送的:

Hey just finished new photo album! :) might be a few nudes ;) lol...
Cherry 发送 photo album.zip

从 Cherry 接收文件“photo album.zip”失败.

和当年的 性感鸡 病毒 有所不同. 由于是国外传入, 目前国内还没有找到同例. 国外已有讨论:
http://www.techjamaica.com/forums/showthread.php?t=40819
http://www.bounty.com/Community/Discussion/TreeLeaves.asp?btythdid=864117

Cherry重新安装了MSN后, 目前看似正常.
:). 等搜到更详尽解决办法再放上来.

-----------------------------------
3.28 搜到国内的讨论页及解决办法:
http://www.cisrt.org/bbs/viewthread.php?tid=918
http://www.cisrt.org/blog/read.php?299
http://zhidao.baidu.com/question/22933093.html

以下转自C.I.S.R.T., 感谢.

【CISRT2007039】通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案
档案编号：CISRT2007039
病毒名称：Backdoor.Win32.IRCBot.aaq（Kaspersky）
病毒别名：
病毒大小：18,944 字节
加壳方式：UPX
样本MD5：383fa8f31bc56113dbb9f5b7527a6d0d
样本SHA1：f325df3287eb51c69bd783590c168609bebefd1a
发现时间：2007.3
更新时间：2007.3
关联病毒：
传播方式：通过MSN传播

技术分析
==========
病毒通过MSN传播，文件名photo album.zip，包含病毒文件photo album2007.pif，病毒被运行后，复制自身到系统目录：
%Windows%\photo album.zip

另外释放一个dll文件注入Explorer.exe进程：
%System%\rdshost.dll

在注册表中创建ShellServiceObjectDelayLoad启动方式：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="rdshost.dll"

注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID，病毒产生的这段CLSID不固定，如：{3CBAEB1E-422A-495D-A45F-5D9E10AACD4B}

向MSN好友发送信息：
HEY lol i've done a new photo album !:) Second ill find file and send you it.
Hey wanna see my new photo album?
Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...
Hey just finished new photo album! :) might be a few nudes ;) lol...
hey you got a photo album? anyways heres my new photo album :) accept k?
hey man accept my new photo album.. :( made it for yah, been doing picture story of my life lol..

同时将%Windows%\photo album.zip发送过去。

连接的IRC：darkjester.xplosionirc.net


清除步骤
==========
1. 删除病毒的启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="rdshost.dll"

2. 重新启动计算机

3. 删除病毒文件：
%Windows%\photo album.zip
%System%\rdshost.dll