Warezov.qy, Agent.awz

几小时前，小U通知我们有关两个通过MSN传播的病毒下载地址。可能是由于最近MSN蠕虫变种多的缘故，所以第一反映就是MSN蠕虫有所改变，不再是一味的发送.zip压缩包了。经过检测，发现并非是最近非常活跃的MSN蠕虫变种，而是来自久违的Email-Worm.Win32.Warezov和Trojan.Win32.Agent的变种。翻查了一下记录，距离上次报道Warezov变种样本已经有整整六个月了。可能大多数的朋友都已经忘记Warezov的存在了，那今天就和大家一起来唤醒一下沉睡的记忆。

今天收到的两个变种都是通过向MSN好友发送带毒的链接，来引诱MSN用户点击。两个域名地址分别为：

广大网友和网管可以对这两个域名进行屏蔽。

1. sedewanion.com



这是根据Warezov伪装的地址下载的过程图，我们可以清楚的看到，它下载了一个叫做smile.exe的文件。这是Warezov家族蠕虫最为普遍的一种欺骗方式。所以，广大网友不要被其“善良”的表面所欺骗。文件大小123,392字节，UPX加壳，Kaspersky检测为Email-Worm.Win32.Warezov.qy。

sedewanion.com的域名注册人是Wang Pang，传统的Warezov注册人还包括Dima Li和Bai Ming，后两位我们也多次报道过。



2. blogo.tw

这是一个老牌的含有恶意代码的网站。这次从上面下载的是一个叫做jpg.exe的文件，大小在254KB左右。这是一个RAR的自解压包，里面含有一个server.exe的文件，大小为158,208字节



自解压包中还含有一段命令：

Kaspersky检测为Trojan.Win32.Agent.awz。