电子月饼QQ蠕虫病毒技术分析报告
新浪科技讯 2005年9月16日,江民反病毒中心接连截获一个QQ蠕虫病毒的17个变种。该病毒通过QQ发送“又是一年中秋节,……,快快品尝美味的电子月饼吧:-)”等消息,并包含恶意网址,引诱用户下载运行病毒程序。
病毒类型:蠕虫
病毒大小:约22KB
传播方式:网络
危害程度:★★
病毒具体技术特征如下:
1. 通过QQ发送包含恶意网址的信息:
QQ发送包含恶意网址的信息
2. 病毒运行后,创建下列文件,均为病毒程序的复本:
%WinDir%\n0tepad.exe, 约22k字节
%WinDir%\system\expl0re.exe, 约22k字节
%WinDir%\system\n0tepad.exe, 约22k字节
%WinDir%\system32\n0tepad.exe, 约22k字节
部分变种产生的文件名略有不同,可能的文件名还有rudodll.exe。病毒文件的图标可能为黄色或蓝色的月亮:如图:
黄色或蓝色的月亮
3. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EXPL0RE.EXE" = %WinDir%\system\expl0re.exe
这样,在Windows启动时,病毒就可以自动执行。
4. 病毒通过修改下列注册表键值,修改文件关联:
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
"" = N0TEPAD.EXE %1
这样,用户打开任何txt文件,都会再次运行病毒程序。
