MSN传播病毒Z058_jpg.zipwdfmgr.exe

　　页面字体DIY：

　　病毒名称：Backdoor.Win32.SdBot.bti（Kaspersky）

　　病毒别名：W32/Sdbot.worm.gen.ca（McAfee）

　　Backdoor.Win32.IRCbot.bdn（瑞星）

　　Win32.Hack.MsnBot.t.541696（毒霸）

　　病毒大小：541,696 字节

　　样本MD5：5e3088b018261589e2d0b2f535982481

　　样本SHA1：51f4a5addcac5d352f965037bf1557f61b068ec8

　　传播方式：通过MSN传播

　　技术分析

　　==========

　　MSN蠕虫变种，根据系统语言向MSN联系人发送诱惑文字消息和带毒压缩包，当联系人接收并页面字体DIY：

　　开带毒压缩包中的病毒文件时系统受到感染。

　　病毒运行后在系统目录生成包含自身的带毒ZIP压缩包：

　　%Windows%\Z058_jpg.zip

　　其中包含病毒文件名为：www.Z058_jpg-msn.com

　　创建副本：

　　%Windows%\wdfmgr.exe

　　创建启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"wdfmgr.exe"="%Windows%\wdfmgr.exe"

　　修改注册表关闭系统文件保护：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　"SFCDisable"=dword:ffffff9d

　　"SFCScan"=dword:00000000

　　更改自动关闭进程等待时间：

　　页面字体DIY：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]

　　"WaitToKillServiceTimeout"="7000"

　　破坏FTP程序文件：

　　%System%\tftp.exe

　　%System%\dllcache\tftp.exe

　　%System%\ftp.exe

　　%System%\dllcache\ftp.exe

　　原正常程序复制到：

　　%System%\microsoft\backup.tftp

　　%System%\microsoft\backup.ftp

　　根据染毒系统语言向MSN联系人发送相应诱惑文字消息，同时发送带毒压缩包Z058_jpg.zip诱使联系人接收打开：

　　dessa 鋜 egentligen trevliga: P

　　gyckel m錽te se dig detta fotografera

　　du fick se detta dess galet :p

　　est

　　页面字体DIY：

　　s s鉶 realmente agrad醰eis :P

　　wow voc?viu este?

　　como voc?gosta de me nesta foto

　　voc?come鏾u ver este seu assim engra鏰do

　　Bu resimler nasil sence bir bakarmisin :)

　　su komik resimlerime baksana :D bak :P

　　Kiz kardesim bunlari sana yollamami s鰕ledi ;)

　　bu resimler space i鏸n nasil

　　Space ime bun resimleri eklesem sence nasil olur

　　avete ottenuto vedere questo relativo cos?divertente

　　come lo pensate osservi qui sguardo di lol a questo controllo di distorsione di velocit?questo

　　页面字体DIY：

　　uori

　　el lol mi hermana quisiera que le enviara este 醠bum de foto

　　vengo de fi este foto 醠bum

　　ey i que hace el 醠bum de foto!

　　Si vea el loL del em

　　l tipo, me acepta por favor su solamente 醠bum de foto: (!

　　lol meine Schwester w黱scht mich Ihnen dieses Fotoalbum schicken

　　Geck, nehmen bitte sein nur mich Fotoalbum an: (!

　　he m鯿hten mein neues Fotoalbum sehen?

　　hoe vind je dit er uit zien ?

　　hoe vind je dit ?

　　echt erg kijk dan

　　zo hee moet je dit zien echt niet normaal

　　页面字体DIY：

　　lol he hoe vind je me hier op

　　eeeh c mes tof :p

　　c seulement mes tof de derniers vacances

　　tu dois voire les tof de notre bande

　　comment est-ce que je regarde sur cette photo ?

　　le lol ceci est dr鬺e

　　ma soeur a voulu que tu regarde ca

　　d閒aut de la reproduction sonore avez-vous vu ceci ?

　　looooook :p

　　loooooooooooool :D

　　lol he looks weird on this photo

　　omg check this out man this is funny

　　lol you got to see this :P

　　尝试连接远程IRC：www.w

　　页面字体DIY：

　　rldcasino.to

　　清除步骤

　　==========

　　1.删除病毒创建的启动项(开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作)：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"wdfmgr.exe"="%Windows%\wdfmgr.exe"

　　2.重新启动计算机

　　3.删除病毒文件(如遇提示无法删除文件，到down.ayren.cn下载费尔木马强制删除器工具进行强制删除)：

　　%Windows%\Z058_jpg.zip

　　%Windows%\wdfmgr.exe

　　4.恢复被破坏的FTP程序文件，删除：

　　%System%\tftp.exe

　　%System%\dllcache\tftp.exe

　　%System%\ftp.exe

　　页面字体DIY：

　　然后将%System%\microsoft\backup.tftp复制到：

　　%System%\tftp.exe

　　%System%\dllcache\tftp.exe

　　将%System%\microsoft\backup.ftp复制到：

　　%System%\ftp.exe

　　%System%\dllcache\ftp.exe

　　5.修改注册表恢复系统文件保护(开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作)：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　"SFCDisable"=dword:00000000

　　"SFCScan"键值可以删除。

　　6.恢复系统自动关闭进程等待时间(开始菜单

　　页面字体DIY：

　　运行－输入“regedit”进入注册表依次找到说明选项并按提示操作)：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]

　　"WaitToKillServiceTimeout"="20000