科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道04.26病毒预警:“QQ艳照门病毒”劫持安全软件、下载木马

04.26病毒预警:“QQ艳照门病毒”劫持安全软件、下载木马

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

“QQ艳照门病毒”(Win32.Troj.Downloader.mu.109568),这是一个木马下载器。该病毒通过给QQ好友发送名为“陈冠希原版相片”的rar格式压缩文件来进行传播。

作者:金山安全中心 来源:金山安全中心 2008年4月30日

关键字: 病毒预警 金山毒霸 金山毒霸病毒库

  • 评论
  • 分享微博
  • 分享邮件

  “QQ艳照门病毒”(Win32.Troj.Downloader.mu.109568),这是一个木马下载器。该病毒通过给QQ好友发送名为“陈冠希原版相片”的rar格式压缩文件来进行传播,一旦进入用户系统,就会劫持安全软件,并在各驱动器下建立AUTO文件来自启动。然后下载40多种木马程序到用户电脑中运行,造成无法预计的损失。

  “完美世界盗号木马69897”(Win32.Troj.OnlineGameT.nf.69897),该木马是一个网游盗号木马群的变种之一。它的作案目标是网络游戏《完美世界》,病毒运行后会衍生病毒文件到系统路径下,然后盗取游戏帐号,并将赃物通过网页提交的方式发送到木马种植者手上。

  一、“QQ艳照门病毒”(Win32.Troj.Downloader.mu.109568) 威胁级别:★★

  4月24日,香港地方法院再次开庭审理艺人不雅照片案,而就在这一天,网上传出“奇拿”复出,公布新照片的消息。一时间,网上议论声四起,怀着各种目的索求新照片的网民也再次增多。一些病毒作者盯上了这个机会,伺机传播病毒。本次预警中的病毒,便是一个利用艳照传播的木马下载器。毒霸反病毒工程师根据近日统计到的相关数据做出推测:在本周末以及五一小长假期间,由于上网人数会增加,该病毒的传播趋势会有所加强,因此发出预警,提醒大家注意系统安全。

  这个病毒会利用网页挂马和QQ聊天工具进行传播。一些“求图心切”的网民,在网上看到艳照链接就会“本能”地去点击,这样一来,便感染上了病毒。如果用户电脑上安装得有QQ即时聊天工具,病毒会利用它,更高效地传播自己。它读取用户当前的聊天窗口,向好友发送含一个名为“陈冠希原版相片.rar”压缩包,骗取好友接收。为避免该压缩包被发送到QQ邮箱中,当QQ弹出询问“是否通过QQ邮箱发送”时,病毒会模拟用户的鼠标操作,点击“否”按钮。

  压缩包里的病毒是无法自动运行起来的,它需要用户解压后才能自由行动,如果解压成功,病毒就会自动调用IE浏览器,弹出一个名为http://www.b***uoo.com的网站。该网站会将用户引导到雅虎网。注意,这个动作是病毒使的障眼法,它这样做是为了让用户们以为接收到的是个普通的刷流量软件,一删了之,而不会去想是否有别的古怪。而实际上,病毒已成功潜入电脑系统了。

  无论是利用哪种方法,病毒进入用户系统后,会立即利用通过镜项劫持,把麦咖啡、Network Associates、赛门铁克、江民、QQ医生、瑞星、360安全卫士木马克星、超级巡警、木马杀客等众多厂家的安全软件产品弄瘫痪,把它们变成自己的傀儡。它还会修改系统时间为2002年,令卡巴斯基等依赖系统时间进行激活和升级的安全软件失效。病毒也会对毒霸下手,不过经测试,它无法结束毒霸的进程。

  为防止用户手动查杀,它还会修改注册表,导致不能进入安全模式,以及无法显示隐藏文件。

  随后,病毒将自身文件wuauc1t.exe拷贝到“C:\WINDOWS\system32\目录”,并将属性改为系统隐藏。同时,它在各磁盘分区下建立AUTO病毒文件explorer.pif和autorun.inf来实现自启动,如果成功启动,就会立即连接病毒作者指定的远程服务器http://www.b***uoo.com/,疯狂下载40多个病毒文件到用户电脑中运行。而这些病毒基本上都是盗窃网游帐号、网银密码、用户个人隐私等敏感数据的木马程序。而由于释放出了AUTO文件,用户只要在中毒电脑上使用U盘等移动存储设备,病毒就会自动传染上去,扩大传播范围。

  毒霸可以查杀该病毒,如果有用户习惯手动查杀,可以参考以下建议:

  关闭IEXPLORE.EXE、wuauc1t.exe、explorer.pif

  修复镜项劫持、安全模式、和隐藏文件选项

  删除%windir%system32\wuauc1t.exe 、%TempPath%\陈冠希原版相片.rar、c:\sys.pif 、c:\1~40.pif %windir%\system32\syurl.dll ,以及各驱动器下的explorer.pif 和autorun.inf.

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-downloader-mu-109568-50565.html

  二、“完美世界盗号木马69897”(Win32.Troj.OnlineGameT.nf.69897) 威胁级别:★

  这个盗号木马的盗窃对象是网络游戏《完美世界》,它的作案原理并不复杂,只是由于借助多个对抗型下载器进行传播,因此传播趋势较高。

  进入系统后,该毒和其它大多数盗号木马一样,会释放出病毒主文件和用于执行盗号的DLL文件。习惯手动杀毒的用户可注意,主文件tciocp64.exe位于系统盘的%WINDOWS%目录下,盗号文件tciocp64.dll位于%WINDOWS%\system32\目录下。

  释放完文件,病毒就将主文件的数据写入系统注册表启动项,实现开机自启动,并于运行起来后将DLL文件轮番注入目前已启动的进程中,设置消息监视,从用户与游戏运营商服务器的通讯中截获用户的帐号和密码,实现盗号。

  盗窃成功后,病毒就连接http://www.*******.cn/tIyndoajhg/pasnt.asp这个由病毒作者指定的地址,将赃物发送过去。在运行完毕后,它就删除自己的原始文件,让用户难以发现它作案的痕迹。

  关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-onlinegamet-nf-69897-50566.html

  金山反病毒工程师建议

  1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

  2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

  金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年4月26的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章