警惕最新QQ.Email 蠕虫 || 中国X黑客小组


	您现在的位置：中国X黑客小组 >> 技术文章 >> 新闻中心 >> 病毒公告 >> 文章正文	用户登录新用户注册

警惕最新QQ.Email 蠕虫

热 ★★★

【字体：小大】

警惕最新QQ.Email 蠕虫

作者：killer 文章来源：xfocus 点击数：更新时间：2004-12-17

一、概述：

病毒名称：Email-Worm.Win32.VB.ac
文件大小：13.279k
编写语言：Microsoft Visual Basic
壳类型：UPX-Scrambler RC1.x -> ㎡nT畂L

近两日，众多QQ用户经常接到别人发来的QQ邮件，请小心不要打开查看，以免中木马。
该蠕虫使用文本图标和.txt.exe扩展名伪装自身，诱导用户执行蠕虫体。

二、分析：（vvv是被屏蔽掉的连接）

  1、蠕虫运行后，会弹出一个文件格式无效的对话框，迷惑用户，并将自身拷贝到系统目录%system%为：

     C:\WINDOWS\system32\Inetdbs.exe 文件属性为：RHS

     同时将自身加入到系统注册表启动项目：
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

     键名：Inet DataBase 键值："C:\WINDOWS\System32\Inetdbs.exe"

  2、然后蠕虫会到：密码解霸。

  3、将下载的new.jpg改名为~DF41F8.EXE并执行。执行后释放将自身拷贝到系统目录：

     拷贝文件为：
     C:\WINDOWS\system32\mstext32.dll    7KB
     C:\WINDOWS\system32\�wowexec.exe    140KB

     其中mstext32.dll是RiskWare.PSWTool.Finder.a，一个用来进行hook 查找密码的dll库。

     并增加注册表启动项：

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     键名：MSIEXEC    键值："�wowexec.exe"

     该木马还会在注册表中增加如下键值，用来存储自身设置：

     HKEY_CLASSES_ROOT\ZPwd_box
         HKEY_CLASSES_ROOT\ZPwd_box    tmUpgrade_p    dword:41bfabb0
         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box
         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box    tmUpgrade_p    dword:41bfabb0

   4、wowexec.exe 会访问编号为：163com[20030606]、IP：202.108.44.153的163信箱，获取升级信息。

      端口:110
      用户:pwdboxup
      密码:shengjile

      密码解霸是危害比较大的木马，可以获取各种及时通讯软件、EMAIL、网络游戏、网络银行、IE中输入的各种密码等。


   5、在重启动后Inetdbs.exe会被运行，运行后会下载http://www.vvv.com/b.wav文件，该文件为一zip包裹，为蠕虫体自身。在%temp%目录下重名为~DF0032.ZIP,用来作为发送邮件的备用附件。
      还会到http://freehost23.vvv.com/wpzkq/MSWINSCK.OCX控件保存到%system%目录下，确保在某些系统上能够正确发送EMAIL，该控件为VB 网络支持库。
      同时会将该控件在注册表的MSWinsock.Winsock和Classid进行注册。


   6、Inetdbs.exe 会模仿FOXMAIL 5.0 进行发送垃圾邮件：

      邮件标题为下面其中一种：

      我爱你,我想你,你喜欢我吗,重要,绝密,我的简历,求职书,求职信,我学计算机,有没有空的职务,生日快乐,你好可爱,自荐书,申请书,请柬,井冈山三日游,天工旅游公司,系统补丁,推广赚钱技术,激情万种,邀请,免费会员,你爱我吗,你想我吗,对不起，别生气,道歉


      内容为下面一种：

      详情查看附件,重要文件,就要附件中,注意查收,立即查看,作品,文件,文档,详情,附件中,压缩包内,压缩包,解压即可,打开压缩包,看了没有

   7、发送垃圾邮件过程：

220 qs20.qq.com ESMTP QQ Mail Server
HELO XPPROSP1
250 qs20.qq.com
mail from: ockt@uixj.com
250 Ok
rcpt to: 97986@qq.com
250 Ok
DATA
354 End data with .
From: ockt@uixj.com
Date: Wed, 15 Dec 2004 13:59:55 +0800
X-Mailer: Foxmail 5.0 [cn]
To: 97986@qq.com
Subject: 游戏币防盗专家
Mime-Version: 1.0
Content-Type: multipart/mixed;
    boundary="=====line_63193098====="

This is a multi-part message in MIME format.

--=====line_63193098=====
Content-Type: text/plain;
    charset="GB2312"
Content-Transfer-Encoding: 7bit

附件中
--=====line_63193098=====
Content-Type: application/octet-stream;
    name="游戏币防盗专家.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
    filename="游戏币防盗专家.zip"

...



三、解决办法：

   根据分析删除对应文件，恢复注册表键值。



感谢: benjurry 及时提醒，并提供样本。

文章录入：IceRiver 责任编辑：IceRiver

上一篇文章： “杀手十三”和“求职信”病毒将发作

下一篇文章： PHP 4/5多个漏洞

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				Skype用户须警惕新Windows蠕 Skype提醒用户警惕新P2P蠕虫密保卡不再安全警惕WOW新式 Alexa最新统计数据表明搜狐解决木马隐患警惕黑客控制P 警惕木马下载器将您的电脑变电脑运行速度突然变慢　警惕抢先看!QQ2008+TM2008功能最警惕：又一个通过 MSN传播的这周警惕新MSN病毒

　网友评论：（只显示最新5条。评论内容只代表网友观点，与本站立场无关！）


关于我们 - 版权声明 - 帮助(？) - 广告服务 - 联系我们 - 友情链接 - 用户注册 -	Powered by ICE RIVER - STUDIO

» CnXHacker.CoM