警惕最新QQ.Email 蠕虫为http://www.170yx.com整理发布，类型为QQ安全，本站还有更多关于QQ安全资料大全，电脑知识 - qq大全 - QQ安全的文章。

一、概述：

病毒名称：Email-Worm.Win32.VB.ac
文件大小：13.279k
编写语言：Microsoft Visual Basic
壳类型：UPX-Scrambler RC1.x -> ㎡nT畂L

近两日，众多QQ用户经常接到别人发来的QQ邮件，请小心不要打开查看，以免中木马。
该蠕虫使用文本图标和.txt.exe扩展名伪装自身，诱导用户执行蠕虫体。

二、分析：（vvv是被屏蔽掉的连接）

  1、 蠕虫运行后，会弹出一个文件格式无效的对话框，迷惑用户，并将自身拷贝到系统目录%system%为：
 
     C:\WINDOWS\system32\Inetdbs.exe 文件属性为：RHS
    
     同时将自身加入到系统注册表启动项目：
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    
     键名：Inet DataBase 键值："C:\WINDOWS\System32\Inetdbs.exe"
 
  2、然后蠕虫会到：密码解霸。

  3、将下载的new.jpg改名为~DF41F8.EXE并执行。执行后释放将自身拷贝到系统目录：
  
     拷贝文件为：
     C:\WINDOWS\system32\mstext32.dll    7KB       
     C:\WINDOWS\system32\wowexec.exe    140KB
    
     其中mstext32.dll是RiskWare.PSWTool.Finder.a，一个用来进行hook 查找密码的dll库。
  
     并增加注册表启动项：
    
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     键名：MSIEXEC    键值："wowexec.exe"
    
     该木马还会在注册表中增加如下键值，用来存储自身设置：
    
     HKEY_CLASSES_ROOT\ZPwd_box       
         HKEY_CLASSES_ROOT\ZPwd_box    tmUpgrade_p    dword:41bfabb0
         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box       
         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box    tmUpgrade_p    dword:41bfabb0

   4、wowexec.exe 会访问编号为：163com[20030606]、IP：202.108.44.153的163信箱，获取升级信息。
  
      端口:110
      用户:pwdboxup
      密码:shengjile
     
      密码解霸是危害比较大的木马，可以获取各种及时通讯软件、EMAIL、网络游戏、网络银行、IE中输入的各种密码等。
     
     
   5、在重启动后Inetdbs.exe会被运行，运行后会下载http://www.vvv.com/b.wav文件，该文件为一zip包裹，为蠕虫体自身。在%temp%目录下重名为~DF0032.ZIP,用来作为发送邮件的备用附件。
      还会到http://freehost23.vvv.com/wpzkq/MSWINSCK.OCX控件保存到%system%目录下，确保在某些系统上能够正确发送EMAIL，该控件为VB 网络支持库。
      同时会将该控件在注册表的MSWinsock.Winsock和Classid进行注册。
     
     
   6、Inetdbs.exe 会模仿FOXMAIL 5.0 进行发送垃圾邮件：
  
      邮件标题为下面其中一种：
     
      我爱你,我想你,你喜欢我吗,重要,绝密,我的简历,求职书,求职信,我学计算机,有没有空的职务,生日快乐,你好可爱,自荐书,申请书,请柬,井冈山三日游,天工旅游公司,系统补丁,推广赚钱技术,激情万种,邀请,免费会员,你爱我吗,你想我吗,对不起，别生气,道歉
     
     
      内容为下面一种：
     
      详情查看附件,重要文件,就要附件中,注意查收,立即查看,作品,文件,文档,详情,附件中,压缩包内,压缩包,解压即可,打开压缩包,看了没有
  
   7、发送垃圾邮件过程：
  
220 qs20.qq.com ESMTP QQ Mail Server
HELO XPPROSP1
250 qs20.qq.com
mail from: ockt@uixj.com
250 Ok
rcpt to: 97986@qq.com
250 Ok
DATA
354 End data with .
From: ockt@uixj.com
Date: Wed, 15 Dec 2004 13:59:55 +0800
X-Mailer: Foxmail 5.0 [cn]
To: 97986@qq.com
Subject: 游戏币防盗专家
Mime-Version: 1.0
Content-Type: multipart/mixed;
    boundary="=====line_63193098====="

This is a multi-part message in MIME format.

--=====line_63193098=====
Content-Type: text/plain;
    charset="GB2312"
Content-Transfer-Encoding: 7bit

附件中
--=====line_63193098=====
Content-Type: application/octet-stream;
    name="游戏币防盗专家.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
    filename="游戏币防盗专家.zip"

...

  
  
三、解决办法：

   根据分析删除对应文件，恢复注册表键值。

如果觉得警惕最新QQ.Email 蠕虫不错，可以推荐给好友哦。