最近一亲戚发给笔者一我的照片文件,打开运行后才知道是病毒,还有一些在使用QQ进行聊天的时候,在QQ群里会有网友发送“www.*****.cn/1601.rar这里有我的照片帮我顶下记得回复我哦点击就可下载”这样的消息。如果下载运行后,会丢失QQ号并下载大量木马程序。笔者就深受其害,这里电脑百事网(www.pc841.com)提醒广大网友不要随意下载QQ群里网友的发送链接,提和打开好友发过来的我的照片文件,一定要先杀毒扫描,再进行操作,提高高安全意识,保证计算机及个人信息的安全。
以下是我的照片病毒详细信息:
| 基本信息 病毒名称:IM-Worm.Win32.QQ.gen 病毒别名:我的照片 病毒类型:蠕虫 危害级别:4 感染平台:Windows 病毒大小:32,948 字节(字节) SHA1 :f3ad8389e4e53d1723174d32614bae19f063a5e8 加壳类型:UPX 开发工具:Borland Delphi 6.0 - 7.0 |
病毒传播行为
| 1、执行文件后会在非系统盘生成 AutoRun.exe (32,948 bytes)和AutoRun.inf 2、释放文件 %ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp %ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.Sys 其中WinSys8z.Sys监控发送到消息队列的消息 3、注册表修改 注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 注册表值: {F81F75C9-F974-4772-B72D-F28CBCD98C5F} 类型: REG_SZ 注册表键: HKCR\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}\InProcServer32 注册表值: (默认) 类型: REG_SZ 值: C:\Program Files\Internet Explorer\PLUGINS\WinSys8z.Sys 4、 post提交 www.xxxxxx.cn/005/qqll.asp盗取QQ号 |
中了病毒,病毒会自动下载并安装以下病毒程序
| 5、下载文件http://www.*****.com/12345.txt,内容如下: http://www.*****/mh.exe http://www.*****/my.exe http://www.*****/wow.exe http://www.*****/jh.exe http://www.*****/wl.exe http://www.*****/zt.exe http://www.*****/qjsj.exe http://www.*****/2.exe http://www.*****/wmgj.exe http://www.*****/4.exe http://www.*****/tl.exe http://www.*****/zx.exe http://www.*****/1.exe http://www.*****/5.exe http://www.*****/3.exe http://www.*****/wd.exe http://www.*****/6.exe http://www.*****/7.exe http://www.*****/8.exe http://www.*****/9.exe http://www.*****/10.exe |
