科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Warezov.qy, Agent.awz

Warezov.qy, Agent.awz

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

小U通知我们有关两个通过MSN传播的病毒下载地址。可能是由于最近MSN蠕虫变种多的缘故,所以第一反映就是MSN蠕虫有所改变,不再是一味的发送.zip压缩包了。经过检测,发现并非是最近非常活跃的MSN蠕虫变种。

作者:zdnet安全频道 来源:论坛整理 2008年6月16日

关键字: Agent.awz Warezov.qy

  • 评论
  • 分享微博
  • 分享邮件

几小时前,小U通知我们有关两个通过MSN传播的病毒下载地址。可能是由于最近MSN蠕虫变种多的缘故,所以第一反映就是MSN蠕虫有所改变,不再是一味的发送.zip压缩包了。经过检测,发现并非是最近非常活跃的MSN蠕虫变种,而是来自久违的Email-Worm.Win32.Warezov和Trojan.Win32.Agent的变种。翻查了一下记录,距离上次报道Warezov变种样本已经有整整六个月了。可能大多数的朋友都已经忘记Warezov的存在了,那今天就和大家一起来唤醒一下沉睡的记忆。

今天收到的两个变种都是通过向MSN好友发送带毒的链接,来引诱MSN用户点击。两个域名地址分别为:

sedewanion.com
blogo.tw



广大网友和网管可以对这两个域名进行屏蔽。

1. sedewanion.com

点击在新窗口中浏览此图片

这是根据Warezov伪装的地址下载的过程图,我们可以清楚的看到,它下载了一个叫做smile.exe的文件。这是Warezov家族蠕虫最为普遍的一种欺骗方式。所以,广大网友不要被其“善良”的表面所欺骗。文件大小123,392字节,UPX加壳,Kaspersky检测为Email-Worm.Win32.Warezov.qy。

sedewanion.com的域名注册人是Wang Pang,传统的Warezov注册人还包括Dima Li和Bai Ming,后两位我们也多次报道过。

点击在新窗口中浏览此图片

2. blogo.tw

这是一个老牌的含有恶意代码的网站。这次从上面下载的是一个叫做jpg.exe的文件,大小在254KB左右。这是一个RAR的自解压包,里面含有一个server.exe的文件,大小为158,208字节

点击在新窗口中浏览此图片

自解压包中还含有一段命令:

Path=%systemroot%\system32
SavePath
Setup=server.exe
Presetup=cmd.exe /c echo MsgBox "格式錯誤,無法執行!",vbOKOnly, "提示!" > %systemroot%\system32\readme.vbs & readme.vbs
Silent=1
Overwrite=1



Kaspersky检测为Trojan.Win32.Agent.awz。

    • 评论
    • 分享微博
    • 分享邮件
        邮件订阅

        如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

        重磅专题
        往期文章
        最新文章