|
安天实验室CERT小组提醒广大用户,网络中正在传播的QQ木马Trojan-SW.Win32.Delf.jj。该病毒运行后复制自身到%windows%目录下,修改注册表文件,并尝试结束一些反病毒及安全软件的进程。当用户使用OICQ软件时,病毒会自动给在线好友发病毒文件,诱骗其他用户点击。病毒还尝试连接网络,下载病毒相关文件到本地并运行。
该病毒传播时,以诱惑性名称和.pif(不是.gif)后缀名进行欺骗。.pif是一种快捷方式文件格式,即使在“隐藏已知文件类型的扩展名”关闭时,都不能显示其pif后缀。该类文件双击后,系统调用command.com去执行该快捷方式指向的文件。pif病毒正是利用该类文件的特性,来欺骗用户执行所指向的病毒文件。
1.修改注册表文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrtenVersion\Run
"SoundMan" = "C:\WINNT\WNILOGON.exe"
2.病毒运行后复制自身到:
%WINDOWS%\WNILOGON.exe
%WINDOWS%\广州某航空公司MM军训照片.pif
%WINDOWS%\最新刷Q币动画教程.pif
%WINDOWS%\让美女失色的泰国人妖II.pif
%WINDOWS%\高清晰美女录像.pif
%WINDOWS%\看得让人感动的流泪的动画.pif
%WINDOWS%\美女激情大暴光.pif
%WINDOWS%\绝色倾城MM秀.pif
%WINDOWS%\最新刷装备教程,网络游戏通用.pif
%WINDOWS%\你最想要的东东.pif
%WINDOWS%\美女发现被偷拍后,竟然做出如此激烈的反应.pif
3.病毒运行后,尝试结束一些反病毒及安全软件的进程。
4.当用户使用oicq程序时,病毒会自动捕获当前窗口,尝试发送病毒文件, 诱惑其他用户点击。
5.病毒运行后会尝试连接网络:http://msg.cd***.com/和http://www.gg***.com下载病毒相关文件到本地运行。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
安天CERT忠告广大用户:
1.及时下载并安装系统补丁。
2.不要轻易点击即时聊天工具和论坛中的不明链接,不要执行可信度不高的程序。
3.使用安天木马防线2005+,并及时升级,为您的系统提供透明的保护。
|
内容:
病毒上报信箱: