真恐怖,打开163邮箱一看:是一封来自 admin@microsoft.com 的邮件,邮件名为 Internet Explorer 7.0 见图如下:
卡巴斯基反WEB病毒软件 7.0 报毒:
The requested URL http://ansaj-yarns.com/english/setup.exe is infected with Trojan-Downloader.Win32.Agent.bjo virus
真恐怖,幸亏有卡巴!否则又中了。
高手们,技术再高也把杀毒软件装上吧。这样安全些,以前我从不装杀毒软件的,每次都是定期GHO一回系统。
看看这个病毒的危害性:
该病毒是win32平台下木马,通过代理网络等方式窃取用户信息,对用户造成伤害
rojan.Win32.Agent的简要分析:
这个QQ病毒和以往的此类病毒最大的区别就是不是通过发送网址来让人点击进入,而是染毒计算机会自动向QQ好友发送病毒文件,而且病毒文件大小不定,发送的病毒文件名具有一定诱惑性,诸如: 今年过年不收礼,收礼只收白骨精(搞笑版广告).exe
啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe 接啊,快接啊,推荐给你看看.exe 一个对你目前工作很有帮助的东东.exe
网上电视(20个CCTV频道+36个省台+50个英文台,极力推荐).exe 等等。 病毒文件图标是WINRAR的压缩包的图样。
病毒运行后首先建立HKLM\Software\Classes\MSipv项,然后病毒创建自身副本到系统目录下:
%System%\.exe
%System%\notepad.exe
%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)
%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)
并修改EXE和TXT的文件关联:
HKLM\Software\Classes\exefile\shell\open\command
EXE文件关联被修改为“ %1 %*”
HKLM\Software\Classes\txtfile\shell\open\command
TXT文件关联被修改为“notepad %1”
注:其中“”不是单纯的一个空格,而是一个字符,是双字节ASCII码为“41643”。病毒感染系统后会显示一个提示框:“安装时检测到系统中某程序与本软件发生冲突,请先纠正该冲突,或选择另一台电脑上安装!”
再注:病毒文件大小不固定,从文件内容来看好像是通过一些重复的信息来改变文件大小。
此外,病毒还会检查被感染系统是否安装QQ,如果安装有QQ,病毒则通过注册表找到QQ.EXE所在路径,把正常的TIMPlatform.exe改名为TIMP1atform.exe,将病毒自身复制为TIMPlatform.exe。
最后在注册表建立病毒标记:
HKLM\Software\Classes\MSipv\MainSetup
HKLM\Software\Classes\MSipv\MainUp
HKLM\Software\Classes\MSipv\MainVer
其中MainSetup和MainUp值相同,但不固定。
病毒的清除
由于病毒关联了EXE文件,我们建议这样处理:
首先打开注册表编辑器或用来恢复文件关联的工具(如RegFix),先不要关闭(否则再次启动应用程序的时候使病毒又重新加载,或者将“.exe”的后缀名改为“.com”也可以。),然后通过任务管理器或KillBox或者是TroyanFindInfo等进程管理工具结束病毒Rundll32.exe 的进程,接下来恢复EXE和TXT文件关联,最后再找到病毒文件删除掉:
%System%\.exe
%System%\notepad.exe
%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)
%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)
还有一步,到QQ安装目录下,把病毒生成的TIMPlatform.exe删除,然后把TIMP1atform.exe改名为TIMPlatform.exe即可。
注:推荐使用工具来恢复TXT文件关联。
分析:为什么发邮件者是以 admin@microsoft.com 以微软管理员名誉发放IE7.0 图片超连的木马?有人说是用群发邮件发来的,可是如果用群发邮件,也得有microsoft.com邮局系统的帐户权限才能发送啊? 难道微软里面有。。。
延伸观察思考:两台机器,一台用IE浏览器打开,一台用火狐浏览器打开, IE浏览器打开该病毒邮件居然加载木马没有任何提示,只能依靠病毒软件监控或保护。而用火狐浏览器打开该邮件中的木马网页时,确就禁止了含木马的网页继续运行!
火狐狸浏览器能阻止WEB病毒运行,强烈推荐:http://www.ieeye.com/Goodie.htm
告诫同志们:以后见邮件里发来陌生人的信笺,只要打开是包含一个图片,鼠标放到图片上是一个地址而且是 .exe的 url地址的话,那么百分百的是木马,千万别去点!否则就中招了。
最新情况:新病毒伪装成微软IE7推广邮件 利用通讯录传播网上流传开一个以假冒微软公司推广邮件为渠道传播的病毒。用户一旦点击右键中的恶意链接,就会下载一个病毒文件。据报道,这一病毒当周五开始大范围传播。用户将会收到一封似乎来自微软公司的推广邮件,发件人的地址是“admin@microsoft.com”,右键的标题是“IE7浏览器下载”。据悉,右键正文中有一个蓝色微软风格的图片,显示点击此处可以下载微软最新的IE7 Beta2版浏览器。用户一旦点击,则将会下载到一个名为IE7.exe的可执行文件。
网络安全专家说,这个文件实际上是一种新的病毒,名称为“ Virus.Win32.Grum.A”,安全公司还在对病毒的行为特征进行分析。Sophos公司表示,这一个病毒程序将会利用用户电脑上的通讯录,将同一个恶意邮件进行传播。此外,病毒还会锁定视窗系统的注册表,并且从网上下载更多的恶意程序。
有安全专家表示,最近,通过邮件发送恶意链接已经成为一种新的攻击方式,这种方式比过去的邮件附件更为有效。
实际上,微软公司去年十月份就开始提供IE7浏览器正式版的下载,目前也不可能推广测试版的IE7。
