网上网-sky99 0v4.org QQ尾巴解决方案 智商测试 智商测试

Viking.r下载木马之一,sky99 0v4.org QQ尾巴解决方案


病毒名称:Trojan.Win32.Delf.rf(Kaspersky)
病毒别名
病毒大小:31,208 字节 (xiaran.dat:13,888字节)
加壳方式:PE_Patch, NSPack
样本MD5:17307830f71c63fac3d4ee790267761d (xiaran.dat:511ad1cbae299a3ccaeb2a903bdd9000)
发现时间:2006.7.24
更新时间:2006.7.25
关联病毒Worm.Win32.Viking.r
      Trojan-PSW.Win32.Lineage.acw
      Trojan-PSW.Win32.Delf.fz
      Trojan-PSW.Win32.Lineage.acw
传播方式:通过恶意网站、其它病毒下载/释放等途径传播


技术分析
==========

这是一个QQ尾巴,用来传播Worm.Win32.Viking.r的,本身由Worm.Win32.Viking.r下载:0Sy.exe。

0Sy.exe是一个WinRAR自解压图标的程序,运行后释放xiaran.dat到:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\xiaran.dat

创建ShellExecuteHooks:

[HKEY_CLASSES_ROOT\CLSID\{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\xiaran.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}"=""

更改默认IE主页:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://u4.sky99.cn"

每3秒恢复一次。

监视QQ聊天窗口,向好友发送QQ尾巴信息:

麻烦帮我朋友投个票啦!她正在竞选QQ小姐,参选Q-Zone空间上有她近照,点击为她增加人气,先谢谢喽……

http://q-zone.qq.c0m.%30%76%34%2E%6F%72%67/cgi-bin/Photo=No.947564

加密地址解释为:
http://q-zone.qq.c0m.0v4.org/cgi-bin/Photo-No.947564


清除步骤
==========

1. 在注册表里删除病毒建立的ShellExecuteHooks信息:

[HKEY_CLASSES_ROOT\CLSID\{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}"

2. 重新启动计算机

3. 删除文件:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\xiaran.dat

4. 更改IE主页设置

 


QQ:2873342  MSN:zhishenggang@hotmail.com  E-MAIL:webmaster@163666.com

Copyright ©2003-2008 www.163666.com All rights reserved

真诚感谢: 中国新网 中华企业网 百度搜索 卓越网 太极链

 网上网版权所有  浙ICP备05066679号