超級巡警收到網友舉報,在使用QQ進行聊天的時候,在QQ群里會有網友發送“www.*****.cn/1601.rar這里有我的照片幫我頂下記得回復我哦點擊就可下載”這樣的消息。如果下載運行后,會丟失QQ號并下載大量木馬程序。超級巡警團隊提醒廣大網友不要隨意下載QQ群里網友的發送鏈接,提高安全意識,保證計算機及個人信息的安全。
一、病毒相關分析:
病毒標簽:
病毒名稱:IM-Worm.Win32.QQ.gen
病毒別名:我的照片
病毒類型:蠕蟲
危害級別:4
感染平臺:Windows
病毒大小:32,948 字節(字節)
SHA1 :f3ad8389e4e53d1723174d32614bae19f063a5e8
加殼類型:UPX
開發工具:Borland Delphi 6.0 - 7.0
病毒名稱:IM-Worm.Win32.QQ.gen
病毒別名:我的照片
病毒類型:蠕蟲
危害級別:4
感染平臺:Windows
病毒大小:32,948 字節(字節)
SHA1 :f3ad8389e4e53d1723174d32614bae19f063a5e8
加殼類型:UPX
開發工具:Borland Delphi 6.0 - 7.0
病毒行為:
1、執行文件后會在非系統盤生成
AutoRun.exe (32,948 bytes)和AutoRun.inf
2、釋放文件
%ProgramFiles%Internet ExplorerPLUGINSSysWin7z.Jmp
%ProgramFiles%Internet ExplorerPLUGINSWinSys8z.Sys
其中WinSys8z.Sys監控發送到消息隊列的消息
3、注冊表修改
注冊表鍵: HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
注冊表值: {F81F75C9-F974-4772-B72D-F28CBCD98C5F}
類型: REG_SZ
注冊表鍵: HKCRCLSID{F81F75C9-F974-4772-B72D-F28CBCD98C5F}InProcServer32
注冊表值: (默認)
類型: REG_SZ
值: C:Program FilesInternet ExplorerPLUGINSWinSys8z.Sys
4、 post提交 www.418592177.cn/005/qqll.asp盜取QQ號
5、下載文件http://www.*****.com/12345.txt,內容如下:
http://www.*****/mh.exe
http://www.*****/my.exe
http://www.*****/wow.exe
http://www.*****/jh.exe
http://www.*****/wl.exe
http://www.*****/zt.exe
http://www.*****/qjsj.exe
http://www.*****/2.exe
http://www.*****/wmgj.exe
http://www.*****/4.exe
http://www.*****/tl.exe
http://www.*****/zx.exe
http://www.*****/1.exe
相關文章
共有條評論
