即時通訊惡意程式 2

2007 年 02 月 14 日 – 09:43:00

昨天在台灣論壇上,看見有一個網友 (熾熱狂風) 張貼了一個疑似即時通訊惡意程式,其對話蠻具吸引力的 (如下所示),一般使用者很可能會執行它。

twbbs_post_about_messenger_virus_20070215.png

上圖的網怎麼這麼奇怪呢?寫錯了嗎?沒錯,這是另一種網址表示方式,經過轉換後,網址為:

twbbs_messenger_virus_url_20070214.png

惡意程式碼的一部分為:

twbbs_messenger_virus_code_20070214.png

執行之後,有下面的行為 (在我的測試機器上,會產生一些應用程式錯誤,就是病毒碼寫得不好啦):

[Added process]
C:\WINDOWS\system32\a.exe

[DLL injection]
C:\WINDOWS\java\classes\66A75.dll (注入某些執行程序如檔案總管等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\tpp[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\top[1].exe
C:\WINDOWS\java\classes\66A75.dll
C:\WINDOWS\java\classes\66A75.exe
C:\WINDOWS\system32\a.exe

[Added COM/BHO]
{C8D81FE1-EF3D-4755-BA05-0BE477385679}-C:\WINDOWS\java\classes\66A75.dll

到目前為止,下面的防毒軟體可以偵測到這些惡意檔案:

66A75.exe:
[ Trend ], "TSPY_LINEAGE.EOP"
a.exe:
[ Trend ], "TSPY_LINEAGE.EOP"
svchost.Exe:
[ Trend ], "TSPY_LINEAGE.EOP"
top[1].exe:
[ Trend ], "TSPY_LINEAGE.EOP"
tpp[1].exe:
[ Trend ], "TSPY_LINEAGE.EOP"
66A75.dll:
[ Kaspersky ], "PAK:PE_Patch.UPX, PAK:UPX, PAK:PE_Patch.MaskPE"
[ Panda ], "Trj/QQPass.SR"
[ Nod32 ], "a variant of Win32/PSW.Lineage.DN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Crypted"
[ Grisoft ], "Trojan horse PSW.Generic3.DNA"

最近,即時通訊病毒還真多,勸各位不要亂執行來路不明的連結,甚至,連您的朋友送過來的,也要先確認一下,不過,這裡要注意,有可能駭客已經取得您朋友的即時通訊帳號和密碼,所以,要小心一點。

請在此留下您的意見

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).