File name:G038_jpg.zip -> www.G038_jpg-msn.com
Virus name:Backdoor.Win32.IRCBot.aex(Kaspersky),x(Uhthn)
Type:Backdoor
File size: 435338 bytes (ZIP)
MD5:3747deb91db32e22c3691bf6214bd6f4 (ZIP)

Infection technique:

มันจะเพิ่มไฟล์ไปที่
1. %systemroot%\ (ปกติจะเป็น c:\windows )
- G038_jpg.zip
- CDSpeed.exe
2. C:\

- h1b9i6h4u6j1.exe
3. %PROGRAMFILES%\Common Files\delsim\

- del.exe

พร้อมกับเพิ่มค่าเหล่านี้ลงใน Registry

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CDSpeed.exe"="c:\windows\CDSpeed.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:ffffff9d
"SFCScan"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="7000"

อันนี้ไม่แน่ใจว่ามันทำอะไร แต่เท่าที่ดูแล้วมันน่าจะเขียนตัวทัปไฟล์เหล่านี้

%systemroot%\System32\tftp.exe
%systemroot%\System32\dllcache\tftp.exe
%systemroot%\System32\ftp.exe
%systemroot%\System32\dllcache\ftp.exe
%System%\microsoft\backup.tftp
%System%\microsoft\backup.ftp

ข้อความที่ส่งมาหาเราเพื่อหลอกล่อ *0*

msn list looooook :p
loooooooooooool :D
lol he looks weird on this photo
omg check this out man this is funny
lol you got to see this :P
พร้อมกับส่งไฟล์ G038_jpg.zip

********************************

วิธีแก้เบื้องต้น
1.เข้าไปลบใน Registry

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CDSpeed.exe"="c:\windows\CDSpeed.exe"

2.แก้ค่าเป็น
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="20000"

3.ลบไฟล์

ที่มา http://uhthn2002.blogspot.com/2007/08/new-msn-virus-g038jpgzip.html