- ·上一篇:EXCEL如何合计多个工作簿?
- ·下一篇:美好漂亮好听的个性签名_向日葵是否仍是呢麼堅強
- › 警惕最新QQ.Email 蠕虫
- 在百度中搜索相关文章:警惕最新QQ.Email 蠕虫
警惕最新QQ.Email 蠕虫
一、概述:
病毒名称:Email-Worm.Win32.VB.ac
文件大小:13.279k
编写语言:Microsoft Visual Basic
壳类型:UPX-Scrambler RC1.x -> ㎡nT畂L
近两日,众多QQ用户经常接到别人发来的QQ邮件,请小心不要打开查看,以免中木马。
该蠕虫使用文本图标和.txt.exe扩展名伪装自身,诱导用户执行蠕虫体。
二、分析:(vvv是被屏蔽掉的连接)
1、 蠕虫运行后,会弹出一个文件格式无效的对话框,迷惑用户,并将自身拷贝到系统目录%system%为:
C:\WINDOWS\system32\Inetdbs.exe 文件属性为:RHS
同时将自身加入到系统注册表启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Inet DataBase 键值:"C:\WINDOWS\System32\Inetdbs.exe"
2、然后蠕虫会到:密码解霸。
3、将下载的new.jpg改名为~DF41F8.EXE并执行。执行后释放将自身拷贝到系统目录:
拷贝文件为:
C:\WINDOWS\system32\mstext32.dll 7KB
C:\WINDOWS\system32\wowexec.exe 140KB
其中mstext32.dll是RiskWare.PSWTool.Finder.a,一个用来进行hook 查找密码的dll库。
并增加注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:MSIEXEC 键值:"wowexec.exe"
该木马还会在注册表中增加如下键值,用来存储自身设置:
HKEY_CLASSES_ROOT\ZPwd_box
HKEY_CLASSES_ROOT\ZPwd_box tmUpgrade_p dword:41bfabb0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box tmUpgrade_p dword:41bfabb0
4、wowexec.exe 会访问编号为:163com[20030606]、IP:202.108.44.153的163信箱,获取升级信息。
端口:110
用户:pwdboxup
密码:shengjile
密码解霸是危害比较大的木马,可以获取各种及时通讯软件、EMAIL、网络游戏、网络银行、IE中输入的各种密码等。
5、在重启动后Inetdbs.exe会被运行,运行后会下载http://www.vvv.com/b.wav文件,该文件为一zip包裹,为蠕虫体自身。在%temp%目录下重名为~DF0032.ZIP,用来作为发送邮件的备用附件。
还会到http://freehost23.vvv.com/wpzkq/MSWINSCK.OCX控件保存到%system%目录下,确保在某些系统上能够正确发送EMAIL,该控件为VB 网络支持库。
同时会将该控件在注册表的MSWinsock.Winsock和Classid进行注册。
6、Inetdbs.exe 会模仿FOXMAIL 5.0 进行发送垃圾邮件:
邮件标题为下面其中一种:
我爱你,我想你,你喜欢我吗,重要,绝密,我的简历,求职书,求职信,我学计算机,有没有空的职务,生日快乐,你好可爱,自荐书,申请书,请柬,井冈山三日游,天工旅游公司,系统补丁,推广赚钱技术,激情万种,邀请,免费会员,你爱我吗,你想我吗,对不起,别生气,道歉
内容为下面一种:
详情查看附件,重要文件,就要附件中,注意查收,立即查看,作品,文件,文档,详情,附件中,压缩包内,压缩包,解压即可,打开压缩包,看了没有
7、发送垃圾邮件过程:
220 qs20.qq.com ESMTP QQ Mail Server
HELO XPPROSP1
250 qs20.qq.com
mail from: ockt@uixj.com
250 Ok
rcpt to: 97986@qq.com
250 Ok
DATA
354 End data with .
From: ockt@uixj.com
Date: Wed, 15 Dec 2004 13:59:55 +0800
X-Mailer: Foxmail 5.0 [cn]
To: 97986@qq.com
Subject: 游戏币防盗专家
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="=====line_63193098====="
This is a multi-part message in MIME format.
--=====line_63193098=====
Content-Type: text/plain;
charset="GB2312"
Content-Transfer-Encoding: 7bit
附件中
--=====line_63193098=====
Content-Type: application/octet-stream;
name="游戏币防盗专家.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="游戏币防盗专家.zip"
...
三、解决办法:
根据分析删除对应文件,恢复注册表键值。
Tags:暂无联系方式 QQ安全,QQ安全资料大全,电脑知识 - qq大全 - QQ安全