簡介
病毒名稱:I-Worm/QQ.Porn病毒大小:20480,upx壓縮
傳播方式:網路傳播
危害程度:**
此病毒為蠕蟲病毒,通過線上QQ傳送病毒檔案。病毒運行後會從黑客網站下載另一病毒(Backdoor/Jieba.2004),後者可以捕獲Win9x/Win2k/WinXp下的幾乎所有普通視窗的登錄密碼, 如: OICQ/QQ, ICQ, Outlook,
Foxmail, 電子信箱, 網咖上網賬號, 軟體註冊碼、各種遊戲軟體, 各種財務軟體, 各種管理軟體, 撥接, 已分享資料夾, 屏保等等, 以及各種在網頁的登錄密碼, 如: Web郵件, 江湖論壇, 聊天室, 密碼保護資料等。
感染過程
(1) 如果病毒被執行,會生成以下檔案,其存路徑為:病毒運行後,將創建下列檔案:
%SystemDir%\wbem\dhelp.dll, 20480位元組
%SystemDir%\dhelp.dll, 20480位元組
%SystemDir%\wmimgr.exe, 20480位元組
(2) 從黑客網站下載Backdoor/Jieba.2004並保存為:
%SystemDir%\comime.exe, 49576位元組
%SystemDir%\msinthk.dll, 6656位元組
(3) 在註冊表中添加下列啟動項:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"mssysint" = comime.exe
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"Windows Management Instrumentation" = wmimgr.exe
這樣,在Windows啟動時,病毒就可以自動執行
(4) 病毒通過修改以下註冊表鍵值,達到用戶無法手工修改註冊表和使用任務管理器的目的:
【HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System】
"DisableTaskMgr" = 1
【HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System】
"DisableRegistryTools" = 00000001
(5) 顯示以下虛假信息,欺騙用戶:
(6) 創建兩個定時器,每隔一定時間查找QQ聊天訊息視窗並向所有線上用戶傳送病毒檔案,帶毒檔案擴展名為.jpg.exe,帶毒檔案名稱為以下字串之一:
絕色傾城MM秀
<<少婦波大,頂不住>>
美女激情大暴光!!!
美女發現被偷拍後,竟然做出如此激烈的反應……
廣州某航空公司MM軍訓照片
美女
這是網咖啊,你也敢脫啊?
恬靜的廣州大學美少女—瞳瞳
Sexy的紫霞仙子
[美女]- 精點超靚小少婦
高清晰美女寫真【40張】
讓美女失色的泰國人妖 II 【10圖】
美女洗澡清晰透視圖(真正清析無碼)
蔡依林短裙顯誘惑 【轉帖】【貼圖】
美女超短裙被刮破的那一刻!
推薦-很珍貴歷史照片:估計9成人沒看到過【23P】
極度誘惑!
真正的美女並不是脫光了衣服才夠靚!
超辣的酒店小姐你怕嗎?
時尚、成熟、風韻、嫵媚、性感
真實網友美眉在浴室自拍(沒穿衣服)
美少女做愛十八式喔。
《這 就 是 人 體 藝 術!》
青春靚麗的極品美女-不看別後悔
超清晰極限美圖!大師級作品
“一脫成名”:台灣三級女星十年興衰
美人脫衣全過程【抵制日貨
但是不要抵制日本美女】
MM走光令人噴血
美女走光才完美
超級漂亮空姐脫衣自拍,爽
昨天上的網友美眉自拍~!【7P】
校園偷拍到的一個大膽女生!
身材棒棒,皮膚爆好的MM
極度誘惑手別發麻! 【11P】
又白又嫩的少婦在對你笑。【
你不吐血殺了我!
清晰美女,脫了,如果讓你碰上了【7P】
可愛小淫MM擺弄各部位讓你看~~頂吧!
身材一流的MM,還把內褲脫下來了!
貌艷銷人魂
聲甜舒人心
膚潤乳聳柳腰擺【8P】
【9 BY一夢三四年】影樓偷拍的美女真面目!發人深思!讓男人吸取教訓!
偷拍三亞遊玩性感小富婆
MM竟然穿著如此風騷撩人的開胸衣
極品漂亮少婦之無絲奉獻
現在女孩真開放 ~~~洗澡間自拍
介紹個新疆MM給你認識
誘惑阿!美女教你帶隱形胸罩
解決方案:針對該病毒江民公司在第一時間升級了病毒庫,用戶只需將KV江民防毒系列軟體智慧型升級到2005年05月23日最新版本,開啟起七套實時監控系統,即可將此病毒有效的殺死在系統之外,確保電腦不受病毒的侵擾
