即時通訊惡意程式 1
2007 年 02 月 08 日 – 23:35:00今天下午六點多,在 PCZone 論壇上看到有人 (網友 n629) 張貼了一篇有關 MSN Messenger 病毒的文章,文章包含一個惡意連結,請各位不要亂去執行它,因為此惡意程式偷帳號與密碼,也有可能會偷信用卡卡號,而且,會監控網路情形。
此篇文章內容,如下圖所示:
文章中有一個惡意連結為:
一看就知道是病毒,不知道各位會不會去執行它呢?
在我的測試環境,執行之後,有下面的行為:
[Added process]
C:\WINDOWS\avp.exe
[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe
NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\game[1].com
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\hs4viewer.dll
[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP]
ID: 1013
NAME: MSAFD Tcpip [TCP/IP]
到目前為止,下面的防毒軟體可以偵測到這些惡意檔案:
avp.exe:
[ Trend ], "TROJ_MARAN.CZ:
game[1].com:
[ Kaspersky ], "ARC:RarSFX, ARC:[data.rar]:RAR, [data.rar/server.exe]:Trojan-Downloader.Win32.Murlo.ez"
[ McAfee ], "[SERVER.EXE]:New Malware.n !!"
[ Sophos ], "[SfxArchiveData\server.exe]:Troj/Maran-Gen"
[ Nod32 ], "[RAR server.exe]:probably a variant of Win32/PSW.Maran trojan"
[ Norman ], "[Heuristic Sandbox detection]:Virus W32/Suspicious_U.gen"
[ Rising ], "[>>server.exe>>uPack0.34]:Trojan.PSW.JHOnline.ewe"
hs4viewer.dll:
[ Alwil ], "Win32:Maran-D [Trj]"
[ HBEDV ], "TR/Drop.Maran.C.3″
