文件名称：devic.exe

文件大小：23304bytes

AV命名：（virustotal上仅卡吧一家报）Backdoor.Win32.SdBot.cok

加壳方式：未知

编写语言：VC

病毒类型：IRCbot

文件MD5：45de608d74ee4fb86b20da86dcbeb55c

行为分析：

1、释放病毒副本：

C:WINDOWSdevic.exe,23304字节

C:WINDOWSimg5-2007.zip,23456字节

2、添加注册表，开机启动：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

(注册表值)SystemDevic="devic.exe"

3、每隔5秒试探网络并连接韩国IRC服务器：irc.pNet.com，以随机命名和空密码用户登入。

4、可能会接受以下命令：

pB.Main->

pB.irc->

pB.Thread->

pB.wget->

pB.update->

pB.Spam-MSN->

pB.Botkiller->

pB.pStore->

pB.Visit->

pB.DDos->

5、往MSN好友发送病毒压缩包和以下随机一条：

Qu?ustedpiensadeestecuadro?

Consegu?anuevocuadrodem?latomaunamirada

algunoscuadrosdelasemanapasada,consideransiustedtienegustoenellos.

tieneustedvistoestepicuretodav

Haha,esqueusted?

Deboutilizarestecuadroenmsn?

Qu?ustedpiensaenesto?

WasdenkenSieandiese?

wasdenkenSieandiesespicure?ichglaube,da?ichh

lichschaue:/

sindhiereineneueAbbildungvonmir

einigeAbbildungenvonderletztenWoche,sehen,wennSiesiem

Haha,diesesindSieaufdieserAbbildung?

sollteichdieseAbbildungaufmsnbenutzen?

WasdenkenSieandieses?

Watdenktuaanditpicure?ikvindiklelijkkijk

Eenpaarbeeldenvanvorigeweek,zienofhoudtuhiervanemnieuwepicvanme.:)

Hebtuditpicurenoggezien?:p

Hebtuditpicurenoggezien?:p

Haha,bentudatopdatbeeld?:)

Zouikditbeeldopmsnmoetengebruiken?

Watdenktuoverdit?

quepensez-vous?cepicure?jemesensquejesemblelaid:/

Voiciunnouveaupicdemoi

Quelquesimagesdelasemainederni

e,voientsivouslesaimez

Avez-vousvucepicureencore?

Haha,est-vouscesurcetteimage?

Sij'emploientcetteimagesurlemsn?

Quepensez-vous?monimage?

:(:(:(:(

Here'sanewpicofme

Afewpicturesfromlastweek,seeifyoulikeem

:D:D:D::D

Haveyouseenthispicureyet?

Haha,isthatyouonthatpicture?

Shouldiusethispictureonmsn?

Whatdoyouthinkaboutthis?

另外那个img5-2007.zip，里面的病毒可能命名为：

www.photo5-2007-12.JPEG.com

img3-2007-12.JPEG.com

img2-2007-12.JPEG_www.images.com

img-2007-12.JPEG.scr

都是可执行程序，呵呵。

解决方法：

1、开始－运行－regedit。

2、展开到：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除这个项：SystemDevic。

3、重启电脑。

4、删除硬盘文件：

C:WINDOWSdevic.exe

C:WINDOWSimg5-2007.zip

另外有其他MSN蠕虫变种，上述方法无法清除的

【MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决】相关文章：

★ logo_1.exe 变种病毒解决方案

★ test.exe,vista.exe,a.jpg,Flower.dll病毒分析解决

★ Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀

★ 卡巴斯基黑名单清除工具下载了

★ avwghmn.dll svchost.exe病毒删除方法

★ PSW.Win32.Magania.ffw(F3C74E3FA248.exe)病毒的清除

★ Ntdll32.dll病毒清除方法

★ 关于诺顿频繁查杀DWH*.TMP病毒的问题分析

★ “灯泡男”“神奇小子”（Win32.WizardBoy.a）病毒完整解决方案

★ 系统时间改为2000年 修改系统时间病毒