出处:超级巡警 时间:2007年11月02日
f�0
rBh,-I �ihBA4~E?C 超级巡警收到网友举报,在使用QQ进行聊天的时候,在QQ群里会有网友发送“www.*****.cn/1601.rar这里有我的照片帮我顶下记得回复我哦点击就可下载”这样的消息。如果下载运行后,会丢失QQ号并下载大量木马程序。超级巡警团队提醒广大网友不要随意下载QQ群里网友的发送链接,提高安全意识,保证计算机及个人信息的安全。
COLQJH�wD) "}\<{-l"�= 一、病毒相关分析:
|bfu )%oS; ��e`4
S�O� 病毒标签:
�<hbP `t#0 病毒名称:IM-Worm.Win32.QQ.gen
$E|[2gW�( 病毒别名:我的照片
�"?v<`i�l� 病毒类型:蠕虫
�R�z[:���~ 危害级别:4
j�h\d6;vXl 感染平台:Windows
uV(1�0�� R 病毒大小:32,948 字节(字节)
{j9Zd%{�g� SHA1 :f3ad8389e4e53d1723174d32614bae19f063a5e8
�MLsm@�`dJ 加壳类型:UPX
wc�uP1E�Xn 开发工具:Borland Delphi 6.0 - 7.0
ZXvE�}%�J' ]=i}MUJk�R 病毒行为:
/u�,Q2
YRe 1、执行文件后会在非系统盘生成
riT�@}l�Ad AutoRun.exe (32,948 bytes)和AutoRun.inf
�fczf}� zG 2、释放文件
f0:c��B$\3 %ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp
e�.y+SfUv> %ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.Sys
�Ucc?-2&@= 其中WinSys8z.Sys监控发送到消息队列的消息
z?�w�_)uRu 3、注册表修改
J� 'eq�G88 注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
w�a���6@:8 注册表值: {F81F75C9-F974-4772-B72D-F28CBCD98C5F}
p\<*go��6' 类型: REG_SZ
R��,�N�p:m 注册表键: HKCR\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}\InProcServer32
$Q�����L]| 注册表值: (默认)
rpZqRd�~�4 类型: REG_SZ
U�MK!�|oaq 值: C:\Program Files\Internet Explorer\PLUGINS\WinSys8z.Sys
%4R�kn�Jb- 4、 post提交
www.418592177.cn/005/qqll.asp盗取QQ号
7�2YeK%P� 
a]B*��f4#B 5、下载文件
http://www.*****.com/12345.txt,内容如下:
�U/b��.]wn http://www.*****/mh.exe
)>PR�C�@Z% http://www.*****/my.exe
9�%0hs8c$Q http://www.*****/wow.exe
;�ydl8\��^ http://www.*****/jh.exe
�M��mZ��Tx http://www.*****/wl.exe
h����HUR_7 http://www.*****/zt.exe
t�'[?J# 34 http://www.*****/qjsj.exe
N�2-1WKX(0 http://www.*****/2.exe
�v@
��V��C http://www.*****/wmgj.exe
:�-<�ZEc�z http://www.*****/4.exe
AesrU.c�s/ http://www.*****/tl.exe
[h�oB,"��4 http://www.*****/zx.exe
yO�>*�1;X4 http://www.*****/1.exe
9]c(#S5Zq, http://www.*****/5.exe
H9=�=�>,� http://www.*****/3.exe
zz+3.Echv# http://www.*****/wd.exe
�z3B!�D# . http://www.*****/6.exe
�}4 k#�Vhp http://www.*****/7.exe
��.;`�p^{1 http://www.*****/8.exe
lp��F`�e�M http://www.*****/9.exe
K*,�(p2B4u http://www.*****/10.exe
}]�ut�@�I. {��&t�#7Z5 二、解决方案
�^PB�+,#s� nu;BP3<E[- 推荐方案:由于该程序会下载其他大量恶意程序,所以推荐安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病
87<@�qYhq� 毒库,并进行全盘扫描。
'LU!�6}�t� 超级巡警下载地址:
http://www.dswlab.com/d1.html rf�Vt2X>H� gTXE�:-xq� 三、安全建议
y2Hi.NK=tm �
MO@]K,Qm 1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
lh]b 5p+&� 2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
>� ^SmRC�X 3、使用超级巡警的补丁检查功能,及时安装系统补丁。
|(AIo�k(MN 4、禁用不必要的服务。
, W-{?m9Wl 5、及时更新常用软件,尤其是聊天工具。
H`TK4�")W� 6、不要随便打开不明来历的电子邮件,尤其是邮件附件。
8~48 %�pm 7、不要随意下载不安全网站的文件并运行。
�K� ra_ f� 8、下载和新拷贝的文件要首先进行查毒。
�F[eF~��@ 9、不要轻易打开即时通讯工具中发来的链接或可执行文件。
'�2r}tk_<I 10、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
�9"AZz[@i@ 15、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
�0|G�FI6@} {?�_z<��j? 注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
8F@4x]O��u 量指%Windir%\System32。其它:
+*n3[l!<4u %SystemDrive% 系统安装的磁盘分区
>.>E+x�3fM %SystemRoot% = %Windir% WINDODWS系统目录
� %(edsM�� %ProgramFiles% 应用程序默认安装目录
T14e�X�q> %AppData% 应用程序数据目录
Cv�9�Q�M�7 %CommonProgramFiles% 公用文件目录
rG�JO�Pb�� %HomePath% 当前活动用户目录
u{t>�">=�a %Temp% =%Tmp% 当前活动用户临时目录
�d�_eGgd� %DriveLetter% 逻辑驱动器分区
\�p�W(�Yf* %HomeDrive% 当前用户系统所在分区
).��=qm�Ha 
