病毒類型： 后門

　　文件MD5： 383FA8F31BC56113DBB9F5B7527A6D0D

　　文件長(zhǎng)度： 18，944 字節(jié)

　　感染系統(tǒng)： windows98以上版本

　　開(kāi)發(fā)工具： Microsoft Visual C++ 6.0

　　加殼類型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

　　病毒描述：

　　該病毒為后門類，病毒運(yùn)行后衍生病毒文件到系統(tǒng)目錄下，關(guān)閉當(dāng)前任務(wù)管理器中一切可以關(guān)切的進(jìn)程，把衍生的DLL文件插入到系統(tǒng)正常進(jìn)程Explorer.exe中，并通過(guò)rdshost.dll連接指定的IRC信道，并接受控制者遠(yuǎn)程控制。修改注冊(cè)表，添加啟動(dòng)項(xiàng)，以達(dá)到隨機(jī)啟動(dòng)的目的。該病毒通過(guò)MSN傳播，會(huì)檢查用戶是否開(kāi)啟MSN，如果開(kāi)啟則自動(dòng)向用戶MSN中的好友自動(dòng)發(fā)送消息，并把病毒衍生的文件photo album.zip做為附件發(fā)送。

　　行為分析：

　　1、病毒運(yùn)行后衍生病毒文件到系統(tǒng)目錄下：

%WINDIR%photo album.zip 
%system32%
dshost.dll

　　2、關(guān)閉當(dāng)前任務(wù)管理器中一切可以關(guān)閉的進(jìn)程。

　　3、把病毒衍生的文件rdshost.dll插入到系統(tǒng)正常進(jìn)程Explorer.exe中，并通過(guò)rdshost.dll連接指定的IRC信道，并接受控制者遠(yuǎn)程控制。

　　4、修改注冊(cè)表，添加啟動(dòng)項(xiàng)，以達(dá)到隨機(jī)啟動(dòng)的目的：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ShellServiceObjectDelayLoad 
鍵值：字串："rdshost "= "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" 
HKEY_CLASSES_ROOTCLSID{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}InProcServer32 
鍵值：字串："@"="rdshost.dll" 
注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}為可變字串。

　　5、該病毒通過(guò)MSN傳播，會(huì)檢查用戶是否開(kāi)啟MSN，如果開(kāi)啟則自動(dòng)向用戶MSN中的好友自動(dòng)發(fā)送消息，并把病毒衍生的文件photo album.zip做為附件發(fā)送：

　　自動(dòng)向MSN好友發(fā)送消息：

QUOTE: 
　　HEY lol i've done a new photo album !:) 
   Second ill find file and send you it.
   Hey wanna see my new photo album?Hey accept my photo album, Nice new pics of
   me and my friends and stuff and when i was young lol... 
　　Hey just finished new photo album! :) might be a few nudes ;) lol... 
　　hey you got a photo album? anyways heres my new photo album :) accept k?
    hey man accept my new photo album.. :( made it for yah, been doing picture 
    story of my life lol..

　　并把病毒衍生的文件photo album.zip做為附件發(fā)送。