文件名称：Happy2008-Card.com\Svchost.exe
 
文件大小：26014 byte
 
AV命名：（瑞星）Backdoor.Win32.PBot.b
 
加壳方式：未知
 
编写语言：VC
 
文件MD5：66951f5a5c5211d60b811c018a849f96
 
病毒类型：IRCBot
 
行为分析：
 
1、释放病毒副本：
 
C:\WINDOWS\Happy2008.zip  26148 字节（病毒压缩包）
C:\WINDOWS\svchost.exe  26014 字节
 
2、添加注册表，开机启动：
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

(注册表值) Windows svchost = "svchost.exe"
 
3、连接IRC服务器（随机命名ID连接）：
 
irc.p***.com
www.uNkn***.eu
iD@uNkn***.eu
 
加入以下频道：
 
#happy2008
#spam.msn
#bot.killer
 
4、查找包含“msnmsgr”字符串的进程，可能作为判断MSN是否在运行状态。
 
如发现MSN存在，则执行Message + Zip sent命令。
 
“Message”可能是下面的一条：
 
Check theese out, Christmas + New year!
Hey, have u seen these Christmas images?
you gotta see this, me in my noughty santa suit!! :P
New year + Christmas pictures! :D
Happy new year xD! :D see
Heeey :) <3 Check out theese New year photos!
 
“Zip sent”毫无疑问就是Happy2008.zip
 
解决方法：
 
1、断开网络，关闭不需要的进程。
 
2、打开注册表（开始－运行-Regedit)，展开到：
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除“Windows svchost ”键值。
 
（也可以用SREng删）
 
3、重启计算机，重启后删除硬盘文件：
 
C:\WINDOWS\Happy2008.zip  26148 字节（病毒压缩包）
C:\WINDOWS\svchost.exe  26014 字节

 

来源：http://gudugengkekao.blog.51cto.com/172212/57271