警惕最新QQ.Email 蠕虫

更新时间：2006-4-12 20:14:19　

一、概述：

病毒名称：Email-Worm.Win32.VB.ac
文件大小：13.279k
编写语言：Microsoft Visual Basic
壳类型：UPX-Scrambler RC1.x -> ㎡nT畂L

近两日，众多QQ用户经常接到别人发来的QQ邮件，请小心不要打开查看，以免中木马。
该蠕虫使用文本图标和.txt.exe扩展名伪装自身，诱导用户执行蠕虫体。

二、分析：（vvv是被屏蔽掉的连接）

1、蠕虫运行后，会弹出一个文件格式无效的对话框，迷惑用户，并将自身拷贝到系统目录%system%为：

     C:\WINDOWS\system32\Inetdbs.exe 文件属性为：RHS

     同时将自身加入到系统注册表启动项目：
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

     键名：Inet DataBase 键值："C:\WINDOWS\System32\Inetdbs.exe"

2、然后蠕虫会到：密码解霸。

3、将下载的new.jpg改名为~DF41F8.EXE并执行。执行后释放将自身拷贝到系统目录：

     拷贝文件为：
     C:\WINDOWS\system32\mstext32.dll    7KB
     C:\WINDOWS\system32\�wowexec.exe    140KB

     其中mstext32.dll是RiskWare.PSWTool.Finder.a，一个用来进行hook 查找密码的dll库。

     并增加注册表启动项：

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     键名：MSIEXEC    键值："�wowexec.exe"

     该木马还会在注册表中增加如下键值，用来存储自身设置：

     HKEY_CLASSES_ROOT\ZPwd_box
         HKEY_CLASSES_ROOT\ZPwd_box    tmUpgrade_p    dword:41bfabb0
         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box
         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box    tmUpgrade_p    dword:41bfabb0

   4、wowexec.exe 会访问编号为：163com[20030606]、IP：202.108.44.153的163信箱，获取升级信息。

      端口:110
      用户:pwdboxup
      密码:shengjile

      密码解霸是危害比较大的木马，可以获取各种及时通讯软件、EMAIL、网络游戏、网络银行、IE中输入的各种密码等。


   5、在重启动后Inetdbs.exe会被运行，运行后会下载http://www.vvv.com/b.wav文件，该文件为一zip包裹，为蠕虫体自身。在%temp%目录下重名为~DF0032.ZIP,用来作为发送邮件的备用附件。
      还会到http://freehost23.vvv.com/wpzkq/MSWINSCK.OCX控件保存到%system%目录下，确保在某些系统上能够正确发送EMAIL，该控件为VB 网络支持库。
      同时会将该控件在注册表的MSWinsock.Winsock和Classid进行注册。


   6、Inetdbs.exe 会模仿FOXMAIL 5.0 进行发送垃圾邮件：

      邮件标题为下面其中一种：

      我爱你,我想你,你喜欢我吗,重要,绝密,我的简历,求职书,求职信,我学计算机,有没有空的职务,生日快乐,你好可爱,自荐书,申请书,请柬,井冈山三日游,天工旅游公司,系统补丁,推广赚钱技术,激情万种,邀请,免费会员,你爱我吗,你想我吗,对不起，别生气,道歉


      内容为下面一种：

      详情查看附件,重要文件,就要附件中,注意查收,立即查看,作品,文件,文档,详情,附件中,压缩包内,压缩包,解压即可,打开压缩包,看了没有

   7、发送垃圾邮件过程：

220 qs20.qq.com ESMTP QQ Mail Server
HELO XPPROSP1
250 qs20.qq.com
mail from: ockt@uixj.com
250 Ok
rcpt to: 97986@qq.com
250 Ok
DATA
354 End data with .
From: ockt@uixj.com
Date: Wed, 15 Dec 2004 13:59:55 +0800
X-Mailer: Foxmail 5.0 [cn]
To: 97986@qq.com
Subject: 游戏币防盗专家
Mime-Version: 1.0
Content-Type: multipart/mixed;
    boundary="=====line_63193098====="

This is a multi-part message in MIME format.

--=====line_63193098=====
Content-Type: text/plain;
charset="GB2312"
Content-Transfer-Encoding: 7bit

附件中
--=====line_63193098=====
Content-Type: application/octet-stream;
name="游戏币防盗专家.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="游戏币防盗专家.zip"

...

三、解决办法：

根据分析删除对应文件，恢复注册表键值。

上一篇文章：构建QQ的安全共享

下一篇文章：隐藏IP就这么简单

·	骗局:QQ空间提示中了2.8万大奖	·	火眼金睛识破QQ欺骗网络地址
·	玩QQ游戏也能中大奖？	·	巨奖从天降,又是网络骗局
·	“恭喜！你的QQ号中了大奖”是骗局	·	QQ最常见的疾病以及抵抗疾病方法
·	QQ骗术-假冒腾讯网站,骗取浏览量	·	看清QQ密码盗窃伎俩防止QQ号码丢失
·	QQ密码防盗十大建议	·	节日网聊谨防六类QQ骗术