I-Worm/QQ.Porn,此病毒为蠕虫病毒,通过在线QQ发送病毒文件。病毒运行后会从黑客网站下载另一病毒(Backdoor/Jieba.2004),后者可以捕获Win9x/Win2k/WinXp下的几乎所有普通窗口的登录密码, 如: OICQ/QQ, ICQ, Outlook, Foxmail, 电子邮箱, 网吧上网账号, 软件注册码、各种游戏软件, 各种财务软件, 各种管理软件, 拨号上网, 共享目录, 屏保等等, 以及各种在网页的登录密码, 如: Web邮件, 江湖论坛, 聊天室, 密码保护资料等。
病毒名称:I-Worm/QQ.Porn
病毒大小:20480,upx压缩
传播方式:网络传播
危害程度:**
感染过程:
(1) 如果病毒被执行,会生成以下文件,其存路径为:
病毒运行后,将创建下列文件:
%SystemDir%wbemdhelp.dll, 20480字节
%SystemDir%dhelp.dll, 20480字节
%SystemDir%wmimgr.exe, 20480字节
(2) 从黑客网站下载Backdoor/Jieba.2004并保存为:
%SystemDir%comime.exe, 49576字节
%SystemDir%msinthk.dll, 6656字节
(3) 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"mssysint" = comime.exe
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Windows Management Instrumentation" = wmimgr.exe
这样,在Windows启动时,病毒就可以自动执行
(4) 病毒通过修改以下注册表键值,达到用户无法手工修改注册表和使用任务管理器的目的:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableTaskMgr" = 1
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools" = 00000001
(5) 显示以下虚假信息,欺骗用户:
(6) 创建两个定时器,每隔一定时间查找QQ聊天消息窗口并向所有在线用户发送病毒文件,带毒文件扩展名为.jpg.exe,带毒文件名为以下字串之一: