档案编号：CISRT2007040
病毒名称：Backdoor.Win32.IRCBot.aaq（Kaspersky）
病毒别名：Win32.Hack.ShadowBot.b.41472（毒霸）
病毒大小：21,504 字节
加壳方式：UPX
样本MD5：cd32ff331a2ea7d2a22fd11a952fb1c2
样本SHA1：6e3cbc9d2f410f4ee991ad57dd54dacbe553fde1
发现时间：2007.3
更新时间：2007.3
关联病毒：
传播方式：通过MSN传播


技术分析
==========

【CISRT2007039】通过MSN传播的IRCBot photo album.zip rdshost.dll 解决方案的变种，同样通过MSN传播，文件名photo album.zip，包含病毒文件photo album2007.pif，运行后复制自身到系统目录：
%Windows%\photo album.zip

另外释放一个dll文件注入进程：
%System%\rdfhost.dll
x【CISRT2007040】通过MSN传播的IRCBot photo album.zip rdfhost.dll 解决方案f- 流行病毒解决方案 - Solutionsm for malwares - C.I.S.R.T. 论坛 安全资讯|流行病毒解决方案|病毒救援 - Powered by Discuz! v c Slave p【CISRT2007040】通过MSN传播的IRCBot photo album.zip rdfhost.dll 解决方案f- 流行病毒解决方案 - Solutionsm for malwares - C.I.S.R.T. 论坛 安全资讯|流行病毒解决方案|病毒救援 - Powered by Discuz! w k Slave