贵州省江口县梵净山:msvcrl是什么东西啊??????????病毒吗?????????
病毒名称Win-Trojan/MultiDropper.23044
危险程度 3 可治疗日期 2005-10-25
种类 特洛伊木马 类型 Windows文件
症状
在邮件中以可运行方式传播,运行该文件后会在Windows目录下生成sachostx.exe文件
和在Windows系统目录下生成 msvcrl.dll, sachostb.exe, sachostc.exe,
sachostp.exe, sachosts.exe, sachostw.exe 等文件. 这些文件是Keylogger,
Backdoor,ProxyServer,泄漏密码,发送邮件等症状.
内容
* 扩散程度
最初是在2005年 10月 24日发现,收集病毒信息的安博士公司已在 2005年 10月 26日 15:30分(GMT+9 标准) 从客户收到一件感染报告.
* 传播路径
以下邮件形式传播.
* 题目: Skylook for Skype
* 本文:
Hello, You asked me to send you Skylook - here it is:
With Skylook, you can get 1 hour of world-wide calls FREE!
Skype Voice Calls (as MP3), Instant Messages, Email, Appointments, Contacts all organized and under control in Microsoft?? Outlook??!
Halloween Special!
Try it before October 31 and receive 1 hour of free world-wide calls (SkypeOut). Also You`ll get 40% off a business license or 30% off a home license.
Use Skylook 1.0 to record Skype VoIP Calls to MP3!
* 附加文件: skylook_1.exe (23,044 bytes)
* 运行后症状
[生成文件]
在Windows目录下生成以下文件.
- sachostx.exe (23,044 bytes) : 已运行的本体
在Windows系统目录下生成以下文件.
- msvcrl.dll (4,096 bytes) : V3诊断为 Win-Trojan/Keylogger.4096.B. 在attrib.ini 文件里保存键盘输入内容
- sachostb.exe (2,333 bytes) : V3诊断为 Win-Trojan/Backdoor.2333 . 这是一个Backdoor 程序,在后台运行文件, 删除, 复制, 移动, 装入等操作
- sachostc.exe (2,313 bytes) : V3诊断为 Win-Trojan/Daemonize.2313
- sachostp.exe (3,945 bytes): V3诊断为 Win-Trojan/PWStealer.3945 . 有泄漏密码的可能性
- sachosts.exe (2,189 bytes) : V3诊断为 Win-Trojan/Daemonize.2189
- sachostw.exe (3,173 bytes) : V3诊断为 Win32/Loosky.worm.3173 . 发送邮件
- attrib.ini : V3不诊断此文件,但是可以看出用户输入的内容
注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me/XP
C:\Windows, windows NT/2000, C:\WinNT 文件夹.
注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me C:\Windows\System, windows NT/2000, C:\WinNT\System32, windows XP是C:\Windows\System32 文件夹.
清除方法
* 使用V3Pro 2002 Deluxe / V3 VirusBlock 2005 / V3Net for Windows Server的用户
1. 产品运行后, 通过[升级]按钮或升级文件, 升级最新引擎及补丁文件.
2. 首先指定要检查的驱动器,然后进行检查.
3. 在进程中诊断为恶性代码时, 选择提示窗口中的‘强制推出后进行治疗’
恶性代码退出后,会自动进行治疗(删除).
4. 进程检查和指定的驱动器检查结束后,会弹出一个治疗窗口.
在这里点击'治疗所有目录'按钮后,治疗(删除)被诊断的恶性代码.
5. 添加及更改过的注册表值会自动修改.
* MyV3 用户
1. 连接到MyV3 网站(http://auth70.ahn.com.cn/shopping/myv3.jsp 等)后运行. 如没有安
装MyV3活动 X 控制键, 在'安全警告'窗口点击'YES'后安装即可.
2. 把MyV3升级为最新版本.
3. 首先指定要检查的驱动器, 然后点击[开始检查]按钮后开始检查.
4. 在进程中诊断恶性代码时, 选择提示窗口中的'强制结束后治疗'. 从而关闭的恶性代码会自动被治疗(删除).
5. 进程检查和指定驱动器的检查结束后弹出一个治疗窗口.
在这里点击'治疗所有标题'按钮后, 对诊断的恶性代码开始进行治疗(删除).
6. 添加及更改的注册表值会自动修改.