您的位置:首页网络冲浪系统安全 → IM-Worm.Win32.QQ.gen(我的照片.exe)病毒分析

IM-Worm.Win32.QQ.gen(我的照片.exe)病毒分析

时间:2007/11/2 22:17:00来源:本站整理作者:我要评论(0)

IM-Worm.Win32.QQ.gen(我的照片.exe)病毒分析




























超级巡警收到网友举报,在使用QQ进行聊天的时候,在QQ群里会有网友发送“www.*****.cn/1601.rar这里有我的照片帮我顶下记得回复我哦点击就可下载”这样的消息。如果下载运行后,会丢失QQ号并下载大量木马程序。超级巡警团队提醒广大网友不要随意下载QQ群里网友的发送链接,提高安全意识,保证计算机及个人信息的安全。



一、病毒相关分析:
 
    病毒标签:
        病毒名称:IM-Worm.Win32.QQ.gen
        病毒别名:我的照片
        病毒类型:蠕虫
        危害级别:4
        感染平台:Windows
        病毒大小:32,948 字节(字节)
        SHA1  :f3ad8389e4e53d1723174d32614bae19f063a5e8
        加壳类型:UPX
        开发工具:Borland Delphi 6.0 - 7.0


    病毒行为:
        1、执行文件后会在非系统盘生成
           AutoRun.exe (32,948 bytes)和AutoRun.inf
        2、释放文件
           %ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp
           %ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.Sys
           其中WinSys8z.Sys监控发送到消息队列的消息
        3、注册表修改
           注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
           注册表值: {F81F75C9-F974-4772-B72D-F28CBCD98C5F}
           类型: REG_SZ
           注册表键: HKCR\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}\InProcServer32
           注册表值: (默认)
           类型: REG_SZ
           值: C:\Program Files\Internet Explorer\PLUGINS\WinSys8z.Sys
        4、 post提交 www.418592177.cn/005/qqll.asp盗取QQ号

        5、下载文件http://www.*****.com/12345.txt,内容如下:
           http://www.*****/mh.exe
           http://www.*****/my.exe
           http://www.*****/wow.exe
           http://www.*****/jh.exe
           http://www.*****/wl.exe
           http://www.*****/zt.exe
           http://www.*****/qjsj.exe
           http://www.*****/2.exe
           http://www.*****/wmgj.exe
           http://www.*****/4.exe
           http://www.*****/tl.exe
           http://www.*****/zx.exe
           http://www.*****/1.exe
           http://www.*****/5.exe
           http://www.*****/3.exe
           http://www.*****/wd.exe
           http://www.*****/6.exe
           http://www.*****/7.exe
           http://www.*****/8.exe
           http://www.*****/9.exe
           http://www.*****/10.exe



二、解决方案

    推荐方案:由于该程序会下载其他大量恶意程序,所以推荐安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病
           毒库,并进行全盘扫描。
           超级巡警下载地址:http://www.dswlab.com/d1.html

三、安全建议

       1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
       2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
       3、使用超级巡警的补丁检查功能,及时安装系统补丁。
       4、禁用不必要的服务。
       5、及时更新常用软件,尤其是聊天工具。
       6、不要随便打开不明来历的电子邮件,尤其是邮件附件。
       7、不要随意下载不安全网站的文件并运行。
       8、下载和新拷贝的文件要首先进行查毒。
       9、不要轻易打开即时通讯工具中发来的链接或可执行文件。
       10、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
       15、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。

 

注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
   量指%Windir%\System32。其它:
       %SystemDrive%           系统安装的磁盘分区
       %SystemRoot% = %Windir%   WINDODWS系统目录
       %ProgramFiles%        应用程序默认安装目录
       %AppData%               应用程序数据目录
       %CommonProgramFiles%      公用文件目录
       %HomePath%              当前活动用户目录
       %Temp% =%Tmp%           当前活动用户临时目录
       %DriveLetter%           逻辑驱动器分区
       %HomeDrive%            当前用户系统所在分区

相关阅读 阿瑞斯病毒怎么去村庄阿瑞斯病毒老军人在在哪里 老军人位置分享阿瑞斯病毒山寨钥匙A怎么获得 山寨钥匙A获取方式一览阿瑞斯病毒研究所怎么快速过关 0肝快速通关技巧详解阿瑞斯病毒穴居狼蛛怎么打 穴居狼蛛打法教程分享阿瑞斯病毒白糖怎么得阿瑞斯病毒石头怎么得阿瑞斯病毒叛军营地怎么打

文章评论
发表评论

热门文章 没有查询到任何记录。

最新文章 U盘传播的病毒 _ U盘病打开U盘才不会中毒的方 alg.exe是什么进程?能不能关闭?nsis error是什么?及解决方法蓝屏错误代码解析 看代码解决问题dotnetfx.exe是什么

人气排行 alg.exe是什么进程?能不能关闭?qq修复工具怎么用如何更改ie收藏夹地址位置(路径)无光驱,无U盘启动,怎样重装系统?nsis error是什么?及解决方法Generic Host Process for Win32 开机后总是六种修复崩溃后WindowsXP系统的技巧exp1orer.exe 病毒清除办法