2019年12月12日 星期四
| 首 页 | 部门首页 | 英语电台 | 信息公告 | 网络学苑/管理 | 病毒与安全 | 规章制度 | 网络简介 | 用户指南 | 校长信箱 |
当前位置:首页>>病毒与安全>>内容展示
“QQ艳照门”病毒传播加剧

添加时间:2008/5/5 9:05:49 部门:网络与电教中心 点击量:12802

某些不怀好意的人将木马捆绑进艳照门的相关照片中传播,也有的在相关照片下载网站植入木马。最近,金山反病毒中心监测到另一种利用“艳照门”主角照片传播的病毒正在加速传播。该病毒是一个木马下载器,会通过U盘、移动硬盘传播,同时会通过QQ聊天窗口发送病毒文件。该病毒的这些特点,很可能导致短期内传播量加剧。

病毒特点:

该病毒通过给 QQ 好友发送”陈冠希原版相片.rar”来进行传播,自身通过镜项劫持安全软件和在驱动器下建立 autorun.inf 来自启动,并下载 40 多种病毒木马。结束安全软件进程,并修改系统时间。修改注册表破坏安全模式登录,影响显示隐藏文件。
 

病毒分析:

1.创建自动运行文件,在各磁盘根目录会发现explorer.pif 和autorun.inf文件

2.尝试关闭以下安全软件的进程

Safe.exe; 360tray.exe;VsTskMgr.exe;Runiep.exe;RAS.exe;UpdaterUI.exe;TBMon.exe; KASARP.exe;scan32.exe;VPC32.exe;VPTRAY.exe;ANTIARP.exe;KRegEx.exe; KvXP.kxp;kvsrvxp.kxp;kvsrvxp.exe;KVWSC.EXE;Iparmor.exe;AST.EXE

3.向QQ聊天窗口发送陈冠希原版相片.rar的病毒文件,该压缩包充分利用了社会工程学原理进行欺骗,双击就会中招。

4.修改系统时间为2002年

5.尝试停止安全软件的服务

6.将自身拷贝到"C:\WINDOWS\system32\wuauc1t.exe",并将属性改为系统隐藏。

7.通过http://www.***.com/下载大量盗号木马

8.修改"SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall\"的 CheckedValue项改为 0(默认为1),破坏显示隐藏的系统文件

9.删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318},来破坏安全模式,导致无法启动系统到安全模式来杀毒。

10.映像劫持以下安全软件为

"C:\WINDOWS\system32\wuauc1t.exe",使得运行以下软件时,实际执行的是病毒程序。
360rpt.EXE; 360safe.EXE;360tray.EXE;AVP.EXE;AvMonitor.EXE;CCenter.EXE;IceSword.EXE; Iparmor.EXE;KVMonxp.kxp;KVSrvXP.EXE;KVWSC.EXE;Navapsvc.EXE;Nod32kui.EXE; KRegEx.EXE;Frameworkservice.EXE;Mmsk.EXE;Wuauclt.EXE;Ast.EXE; WOPTILITIES.EXE;Regedit.EXE;AutoRunKiller.exe;VPC32.exe;VPTRAY.exe; ANTIARP.exe;KASARP.exe;QQDOCTOR.EXE
 


返回】【  】【关闭】【打印
版权所有 中国农业大学(烟台) 网络与电教中心 CopyRight 2007