|
发信人: snaix(笑着的疯子) 整理人: emil(2002-08-28 22:39:49), 站内信件 |
| 前几日有人反映这个站有恶意代码,吾等上之,果有。且并非日常所见到的网页恶意代码程序。
今再访http://sckiss.yeah.net,发现这个站的连接已经转移到http://www.angelfire.com/80s/ontimer/index.txt,而且index.txt是一没有的文件。可见该站作者可能已知自己犯了错误。原来指向的站点内容也已经被网易删除。 代码分为两部分: 恶意代码部分的危害不大,告知如下: 自动打开一名为s.eml的Email并且自动执行其附加hack.exe 修改HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\StartPage,键值改为http://sckiss.yeah.net/ 恢复为空或者自己想要的主页即可 修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun,键值为00。根据需要可以改为00和01。 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title,键值为http://sckiss.yeah.net/爱情森林。更改为空。 删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\run,http://sckiss.yeah.net/ 或者运行金山的专杀工具和Msconfig清除也可以 Hack.exe特征 以下转自瑞星: 于2002年8月23日上午开始通过QQ聊天程序快速扩散的QQ恶性木马病毒—爱情森林(Trojan.Sckiss)被瑞星公司率先查杀。 病毒基本资料: 病毒名:Trojan.Sckiss 病毒长度:176,643字节 病毒原名:HACK.EXE 原始病毒邮件名:s.eml 此病毒用UPX软件进行压缩,压缩后大小接近200K,是一个异常庞大的病毒。而且此病毒利用了多种方式进行传播:本机感染,QQ诱骗、网页帮凶,所以有极强的传播能力,请用户密切注意此病毒的最新动向。 经瑞星反病毒专家分析,此病毒有以下特性: 一、 利用邮件包装,形成自启动邮件。 病毒的原始文件是一个名为HACK.EXE的木马病毒,病毒作者为了能使病毒“初战告捷”,迅速占领用户计算机,利用了OUTLOOK的邮件漏洞,将原始病毒包装成一个可以预览执行的病毒邮件:s.eml,然后放入一个恶意网页中,等待下载。 二、 利用QQ工具,发送伪装信息。 如果用户不小心点击或预览了病毒邮件,病毒便可执行。病毒执行时会搜索用户的QQ程序,如果用户在线的话,病毒会伪装成用户,给用户的所有在线的好友发送一条用户无法查觉的隐藏信息,此信息的内容为:“http://sckiss.yeah.net 这个你去看看!很好看的”如果用户的好友在收到了此信息后,因为好奇而点击了此链接,则会进入一个恶意网页。 三、 利用恶意网页帮凶,导致病毒泛滥. 该恶意网页用JS语言编写,利用了JAVA EXPLOIT漏洞,所以不经用户的允许,便可以悄悄运行自动下载“爱情森林”病毒邮件(s.eml)并执行。然后此恶意网页会修改用户注册表进行破坏:将用户的IE标题改为:“http://sckiss.yeah.net/爱情森林”,使用户的“运行”菜单项无法使用,并且将用户的IE默认首页改为:“http://sckiss.yeah.net/”,此恶意网页还将此网址加入注册表中的RUN自启动项。这样以来,无论用户启动计算机还是启动IE浏览器,都可以自动链接到恶意网页,感染病毒。 四、 侵占系统目录,继续“生生不息”。 “爱情森林”病毒通过QQ发送信息之后,便开始进行本机的感染。病毒首先改名为:“EXPLORER.EXE”,然后将之拷贝到WINDOWS的系统目录(SYSTEM或SYSTEM32)下,这样用户即使发现也不会起疑心,然后病毒修改注册表,在RUN的自启动项中建立一个EXPLORER的键值,将病毒路径加入其中,一旦计算机重启,病毒便可自动运行,再次进行以上感染。 大家最好升级自己的IE,修补漏洞,减少将来被害的可能和损失。 ---- 
告诉我 我们从哪里来 我们是谁我们做什么 告诉我 为什么忙忙碌碌 却不知道走到哪里去 看苍天蓝蓝唯你独自占有 告诉我 是不是真有上帝 ---------------------------------------------------------------------- SnaiX(eSX) Is Here! 欢迎访问: 金山毒霸安全资讯论坛 病毒与防护讨论版 广州网易病毒版 如果你有任何关于病毒的问题,可以联系我 我的email是:[email protected] 我的OICQ号码是:251966 我会尽力做好! |
|
[关闭][返回] |