卡尔加里中国城

病毒名称：Backdoor.Win32.IRCBot.aaq（Kaspersky）
病毒别名：Worm.Mail.Photocheat.a（瑞星）
　　　　　 Worm.MsnBot.h（毒霸）

行为分析：
病毒通过MSN传播，伪装成照片压缩包发送给MSN上的联系人，诱使联系人接收打开病毒。病毒通过ShellServiceObjectDelayLoad加载实现自启动。

病毒运行后在系统目录生成包含有自身副本的ZIP压缩文件：
%Windows%\photos.zip
其中包含的病毒副本文件名是photos album-2007-5-26.scr。

释放一个dll文件注入进程：
%System%\syshosts.dll

在注册表创建ShellServiceObjectDelayLoad启动方式：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"syshosts"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="syshosts.dll"

注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID，病毒产生的这段CLSID不固定，如：{B6E52B7E-4AF1-467F-9F8D-D087AFEBA89A}

向MSN联系人发送信息：
——————————————————————————————————————
Here are my private pictures for you
Here are my pictures from my vacation
My friend took nice photos of me.you Should see em loL!
its only my photos!
Nice new photos of me and my friends and stuff and when i was young lol...
Nice new photos of me!! :p
Check out my sexy boobs :D
hey regarde mes tof!! :p
ma soeur a voulu que tu regarde ca!
hey regarde les tof, c'est moi et mes copains entrain de.... :D
j'ai fais pour toi ce photo album tu dois le voire :)
tu dois voire ces tof
mes photos chaudes :D
c'est seulement mes tof :p
zijn enige mijn foto's
wanna Hey ziet mijn nieuw fotoalbum?
Hey be
indigde enkel nieuw fotoalbum! :)
hey keurt mijn nieuw fotoalbum goed.. :p
het voor yah, doend beeldverhaal van mijn leven lol..
meine hei
en Fotos ! :p
le mie foto calde :p
mis fotos calientes
mi fotograf
as :p
Mi amigo tom
las fotos agradables de m
mis fotos calientes
el lol mi hermana quisiera que le enviara este
album de foto
——————————————————————————————————————
同时将%Windows%\photos.zip发送给联系人。

病毒还会尝试连接远程IRC：www.free8.biz

清除办法：
1、开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"—>查找，输入syshosts ，找到的项目就点右键--删除，按F3继续，直到查找完毕.

2、重新启动计算机

3、删除病毒文件：
C:\Windows\photos.zip
C:\Windows\System32\syshosts.dll

4、完毕。