PC6下载站

分类分类

IM-Worm.Win32.QQ.gen(我的照片.exe)病毒分析

关注+2007-11-02作者:

IM-Worm.Win32.qq.gen(我的照片.exe)病毒分析




























超级巡警收到网友举报,在使用QQ进行聊天的时候,在QQ群里会有网友发送“www.*****.cn/1601.rar这里有我的照片帮我顶下记得回复我哦点击就可下载”这样的消息。如果下载运行后,会丢失QQ号并下载大量木马程序。超级巡警团队提醒广大网友不要随意下载QQ群里网友的发送链接,提高安全意识,保证计算机及个人信息的安全。



一、病毒相关分析:
 
    病毒标签:
        病毒名称:IM-Worm.Win32.QQ.gen
        病毒别名:我的照片
        病毒类型:蠕虫
        危害级别:4
        感染平台:Windows
        病毒大小:32,948 字节(字节)
        SHA1  :f3ad8389e4e53d1723174d32614bae19f063a5e8
        加壳类型:UPX
        开发工具:Borland Delphi 6.0 - 7.0

    病毒行为:
        1、执行文件后会在非系统盘生成
           AutoRun.exe (32,948 bytes)和AutoRun.inf
        2、释放文件
           %ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp
           %ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.Sys
           其中WinSys8z.Sys监控发送到消息队列的消息
        3、注册表修改
           注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
           注册表值: {F81F75C9-F974-4772-B72D-F28CBCD98C5F}
           类型: REG_SZ
           注册表键: HKCR\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}\InProcServer32
           注册表值: (默认)
           类型: REG_SZ
           值: C:\Program Files\Internet Explorer\PLUGINS\WinSys8z.Sys
        4、 post提交 www.418592177.cn/005/qqll.asp盗取QQ号

        5、下载文件http://www.*****.com/12345.txt,内容如下:
           http://www.*****/mh.exe
           http://www.*****/my.exe
           http://www.*****/wow.exe
           http://www.*****/jh.exe
           http://www.*****/wl.exe
           http://www.*****/zt.exe
           http://www.*****/qjsj.exe
           http://www.*****/2.exe
           http://www.*****/wmgj.exe
           http://www.*****/4.exe
           http://www.*****/tl.exe
           http://www.*****/zx.exe
           http://www.*****/1.exe
           http://www.*****/5.exe
           http://www.*****/3.exe
           http://www.*****/wd.exe
           http://www.*****/6.exe
           http://www.*****/7.exe
           http://www.*****/8.exe
           http://www.*****/9.exe
           http://www.*****/10.exe
二、解决方案

    推荐方案:由于该程序会下载其他大量恶意程序,所以推荐安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病
           毒库,并进行全盘扫描
           超级巡警下载地址:http://www.dswlab.com/d1.html

三、安全建议

       1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
       2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
       3、使用超级巡警的补丁检查功能,及时安装系统补丁。
       4、禁用不必要的服务。
       5、及时更新常用软件,尤其是聊天工具。
       6、不要随便打开不明来历的电子邮件,尤其是邮件附件。
       7、不要随意下载不安全网站的文件并运行。
       8、下载和新拷贝的文件要首先进行查毒。
       9、不要轻易打开即时通讯工具中发来的链接或可执行文件。
       10、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
       15、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。

 

注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
   量指%Windir%\System32。其它:
       %SystemDrive%           系统安装的磁盘分区
       %SystemRoot% = %Windir%   WINDODWS系统目录
       %ProgramFiles%        应用程序默认安装目录
       %AppData%               应用程序数据目录
       %CommonProgramFiles%      公用文件目录
       %HomePath%              当前活动用户目录
       %Temp% =%Tmp%           当前活动用户临时目录
       %DriveLetter%           逻辑驱动器分区
       %HomeDrive%            当前用户系统所在分区

展开全部

相关文章

更多+相同厂商

热门推荐

  • 最新排行
  • 最热排行
  • 评分最高
排行榜

    点击查看更多

      点击查看更多

        点击查看更多

        说两句网友评论

          我要评论...
          取消