1月9日,江民快速反病毒小组截获四种武汉男生变种病毒,Trojan.QQMsg.WhBoy.f/Trojan.QQMsg.WhBoy.g/Trojan.QQMsg.WhBoy.h/Trojan.QQMsg.WhBoy.i
病毒大小分别为56,832、62,464、56,832、93,696字节(两个文件),主要通过网络传播。据江民监测数据表明,目前该病毒在网吧几乎接近滥泛的程度。
病毒发作后,会利用QQ聊天工具进行传播,定时给QQ网友发送包含网址的信息来诱使用户点击,该网页利用了IE的tData漏洞下载并运行病毒本身,该漏洞是由HTML中T的DATA标签引起的。对于DATA所标记的URL,IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta,那么该URL指定的文件就能够执行,无论IE设置的安全级别有多高。病毒运行后,会给用户的QQ网友发送同样的信息,盗取传奇密码并以邮件形式发给盗密码者,并且结束多种反病毒软件,以保护自身不被清除。
感染过程:
 |
|
| 图1 |
|
(1)如果点击病毒网页,将会显示美女图片(如图1),而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞,下载并运行leoexe.gif和leo.asp文件,其中leoexe.gif并不是图像文件,而是exe类型的病毒体,leo.asp是病毒释放器;
(2)如果病毒一旦运行,将结束大部分杀毒软件、防火墙以及某些病毒专杀工具;
 |
|
| 图2 |
|
(3)每隔一段时间给QQ网友发送信息(病毒可能发送的信息如图2):
 |
|
| 图3 |
|
(4)病毒运行后会复制自身到系统目录下,文件名是updater.exe、Systary.exe、sysnot.exe(如图3),并在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加:“windowsupdate”=
“%windir%\system\updater.exe”%windir%是Windows系统的安装目录,在不同系统下该目标表现可能不同,可能的有:c:\windows;c:\winnt
等。
(5)修改文本文件(*.txt)关联和可执行文件关联,直接指向病毒本身,如果用户运行任意的txt文件和exe文件都会激活病毒,例如修改关联如下:
(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息,发送到指定的E-Mail信箱。病毒变种发展趋势:早期版本只是简单的发送一个网页,增加该网页的浏览量,但是随着病毒自身的改进,逐步增加了盗取传奇等游戏或者偷窃QQ密码功能,并且会针对反病毒软件进行自身的保护,杀死反病毒软件,江民公司密切关注此病毒新变种,在第一时间查杀该病毒;
解决方案:针对该病毒江民公司在第一时间升级了病毒库,用户只需将KV江民杀毒系列软件智能升级到2004年1月9日最新版本,开启六套实时监控系统,即可将此病毒有效的杀死在系统之外,确保电脑不该病毒的侵扰。更多资讯请登陆江民网站查询:http://www.jiangmin.com圣诞树编辑信箱:
作者:江民科技
