» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » 蠕虫程序 Net-Worm.Win32.Skype.b   作者: 标题: 蠕虫程序 Net-Worm.Win32.Skype.b pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  蠕虫程序 Net-Worm.Win32.Skype.b 病毒名称 Net-Worm.Win32.Skype.b 捕获时间 2007年9月16日 病毒症状   　　该蠕虫是一个使用VC编写的病毒程序，长度为188,416 字节，图标为常规jpeg图片图标，病毒扩展名为exe／scr，传播途径主要为通过网络电话Skype附件进行传播。 病毒分析 　　该蠕虫程序被激活后，拷贝自身并重命名为stwinsdat.exe、odcwinst.exe、windb32.exe和servftc.exe到%SystemRoot%\system32目录下；执行stwinsdat.exe作为主进程，并把创建文件时间和修改文件时间修改为Windows目录下explorer.exe的时间，修改文件属性为只读、隐藏和系统；蠕虫进程注入explorer.exe后监视蠕虫主进程，通过枚举窗口（每60ms检测一次）和遍历进程（每150ms一次）的方式结束多种安全工具、系统工具和调试器；添加注册表启动项，使其能随系统一起启动。修改系统hosts文件，使得用户无法连接多种安全公司网站，无法升级安全软件，无法使用在线杀毒网页；遍历窗口查找Skype窗口发送病毒内置的随机消息，被发送的消息如下表；检测逻辑驱动器类型，在可移动存储介质（U盘、移动硬盘、数码相机）中释放病毒文件dideli_papai.scr、chuj.exe以及autorun.inf，通过脚本将移动存储介质的图标显示为病毒所使用的jpeg图标，与常规的U盘图标有较大区别。 中毒现象 　　Skype自动提示保存扩展名为scr的文件，并伴随病毒消息；U盘或移动硬盘图标变为jpeg图片图标 病毒发送的消息： how are u ? hey look your photos looks realy nice look what crazy photo Tiffany sent to me,looks cool where I put ur photo I used photoshop and edited it now u populr haha lol really funny you checked ? what ur friend name wich is in photo ? this (happy) sexy one ziurek kur tavo foto imeciau (mm) kaip as taves noriu zek kur tavo foto metos isdergta cia biski su photoshopu pazaidziau bet bet irgi gerai atrodai cia tu isimetei? kas cia tavim taip isderge ? patinka ? geras ane ? as net nezinau ka tavo vietoj daryciau. 病毒注册表启动项： 项：HKLM \SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ 键值：services Start2 指向文件：odcwinst.exe 项：HKLM \SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 键值：Services Start2 指向文件：odcwinst.exe 项：HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ 键值:：Logon Settings2 指向文件:：odcwinst.exe 项：HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ 键值:：Windows Sysdat 字符串: "explorer.exe odcwinst.exe" 感染对象 Windows 98/Windows ME /Windows NT/ Windows 2000/ Windows XP 传播途径 Skype网络电话/可移动存储 安全提示 　　该程序是通过Skype(Tom-Skype)传播的蠕虫，传播性质与MSN蠕虫相仿，受到病毒攻击时Windows将弹出一个窗口，询问是否允许运行一个.scr文件，使用Skype的用户请留意此现象发生，以免中毒。 　　已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；                 图1 　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现Net-Worm.Win32.Skype.b”，请直接选择删除（如图2）。                 图2 　　使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性，会导致某些杀毒软件无法升级更新，如果您的杀毒软件已经无法正常使用，您也可以尝试安装微点解决。 　　没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。 [ Last edited by pioneer on 2007-9-16 at 21:19 ] ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-9-16 18:56 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号