超级巡警收到网友举报,在使用QQ进行聊天的时候,在QQ群里会有网友发送“www.*****.cn/1601.rar这里有我的照片帮我顶下记得回复我哦点击就可下载”这样的消息。如果下载运行后,会丢失QQ号并下载大量木马程序。超级巡警团队提醒广大网友不要随意下载QQ群里网友的发送链接,提高安全意识,保证计算机及个人信息的安全。
一、病毒相关分析:
病毒标签:
病毒名称:IM-Worm.Win32.QQ.gen
病毒别名:我的照片
病毒类型:蠕虫
危害级别:4
感染平台:Windows
病毒大小:32,948 字节(字节)
SHA1 :f3ad8389e4e53d1723174d32614bae19f063a5e8
加壳类型:UPX
开发工具:Borland Delphi 6.0 - 7.0
病毒名称:IM-Worm.Win32.QQ.gen
病毒别名:我的照片
病毒类型:蠕虫
危害级别:4
感染平台:Windows
病毒大小:32,948 字节(字节)
SHA1 :f3ad8389e4e53d1723174d32614bae19f063a5e8
加壳类型:UPX
开发工具:Borland Delphi 6.0 - 7.0
病毒行为:
1、执行文件后会在非系统盘生成
AutoRun.exe (32,948 bytes)和AutoRun.inf
2、释放文件
%ProgramFiles%Internet ExplorerPLUGINSSysWin7z.Jmp
%ProgramFiles%Internet ExplorerPLUGINSWinSys8z.Sys
其中WinSys8z.Sys监控发送到消息队列的消息
3、注册表修改
注册表键: HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
注册表值: {F81F75C9-F974-4772-B72D-F28CBCD98C5F}
类型: REG_SZ
注册表键: HKCRCLSID{F81F75C9-F974-4772-B72D-F28CBCD98C5F}InProcServer32
注册表值: (默认)
类型: REG_SZ
值: C:Program FilesInternet ExplorerPLUGINSWinSys8z.Sys
4、 post提交 www.418592177.cn/005/qqll.asp盗取QQ号
5、下载文件http://www.*****.com/12345.txt,内容如下:
http://www.*****/mh.exe
http://www.*****/my.exe
http://www.*****/wow.exe
http://www.*****/jh.exe
http://www.*****/wl.exe
http://www.*****/zt.exe
http://www.*****/qjsj.exe
http://www.*****/2.exe
http://www.*****/wmgj.exe
http://www.*****/4.exe
http://www.*****/tl.exe
http://www.*****/zx.exe
http://www.*****/1.exe
相关文章
共有条评论
