首 页   新闻 | 行情 | 评测 | 调研 | 数码导购 | DIY | 专题 | 报价 | 论坛 | 二手 | 下载 | 博客 | 商城 | 拍卖 | 网址 | 分类
消费数码 手机 数码相机 MP3 MP4 数字家庭 硬 件 CPU 内存/硬盘 主板 显卡 音箱 机箱/散热器 光磁 显示器 游戏库 电影 音乐 小游戏
电 脑 笔记本 电脑 服务器 办公外设 打印机/耗材 键盘/鼠标/摄像头 投影机 企 业 中小企业 网络设备 方案 安全 克丽发现
产 品 价格查询 产品大全 排行榜 术语 产品论坛 图搜 厂商 经销商 商家库 商情快报 商城 活 动 PC采购攻略 模拟攒机 DELL直销店
ZOL首页 > 今日要闻 > 趋势报导       查看全部趋势报导文章

小心QQ病毒“爱情森林”

类型:转载 作者: 日期:2002-08-24 07:57:25



    8月23日下午,瑞星全球病毒监控中心截获了一个传染能力极强的恶性QQ病毒――“爱情森林”(trojan.sckiss)。据瑞星公司的反病毒工程师介绍,此病毒会利用QQ软件,诱惑用户打开一恶意网页,而该网页会自动下载病毒并修改注册表。

  “爱情森林”病毒的制作者利用QQ聊天机制,向用户发送“http://sckiss.yeah.net这个你去看看!很好看”的信息。如果用户收到此信息,并点击该链接,则会进入一个包含恶性攻击代码的恶意网页,此时病毒将会被自动下载并发作。同时,病毒还会利用用户的QQ好友名单,继续向外扩散。

  该恶意网页用JS脚本语言编写,利用了JAVA EXPLOIT漏洞,所以不经用户的允许,便可以悄悄自动下载“爱情森林”病毒并执行。而后此恶意网页会修改用户注册表以进行破坏,并将用户的IE标题和IE默认首页改为:sckiss.yeah.net爱情森林。同时使用户的“运行”菜单项无法使用,并将这个网址也加入注册表中的RUN自启动项。

  目前,网络上使用QQ软件的注册人数已经超过1个亿,而从今年病毒的发作情况来看,已经有将近100种QQ类型的病毒出现。由此可以看出,利用QQ这类通讯工具来进行传播的病毒,已经逐渐成为新病毒的流行趋势。

  据瑞星公司的近日统计,截止到下午2:00,瑞星技术服务部门已经接到求援电话100余个,该病毒的传播范围还极有可能进一步扩大。

  据悉,瑞星杀毒软件公司将于23日晚进行紧急升级,请广大瑞星用户尽快升级到14.23.01版本查杀“爱情森林”病毒。同时,瑞星反病毒小组也在密切关注给病毒的进一步发展动态。

  “爱情森林”病毒分析

  于2002年8月23日上午开始通过QQ聊天程序快速扩散的QQ恶性木马病毒—爱情森林(Trojan.Sckiss)被瑞星公司率先查杀。

  病毒基本资料:

  病毒名:Trojan.Sckiss

  病毒长度:176,643字节

  病毒原名:HACK.EXE

  原始病毒邮件名:s.eml

  此病毒用UPX软件进行压缩,压缩后大小接近200K,是一个异常庞大的病毒。而且此病毒利用了多种方式进行传播:本机感染,QQ诱骗、网页帮凶,所以有极强的传播能力,请用户密切注意此病毒的最新动向。

  经瑞星反病毒专家分析,此病毒有以下特性:

  一、利用邮件包装,形成自启动邮件。

  病毒的原始文件是一个名为HACK.EXE的木马病毒,病毒作者为了能使病毒“初战告捷”,迅速占领用户计算机,利用了OUTLOOK的邮件漏洞,将原始病毒包装成一个可以预览执行的病毒邮件:s.eml,然后放入一个恶意网页中,等待下载。

  二、利用QQ工具,发送伪装信息。

  如果用户不小心点击或预览了病毒邮件,病毒便可执行。病毒执行时会搜索用户的QQ程序,如果用户在线的话,病毒会伪装成用户,给用户的所有在线的好友发送一条用户无法查觉的隐藏信息,此信息的内容为:“http://sckiss.yeah.net这个你去看看!很好看的”如果用户的好友在收到了此信息后,因为好奇而点击了此链接,则会进入一个恶意网页。

  三、利用恶意网页帮凶,导致病毒泛滥.

  该恶意网页用JS语言编写,利用了JAVA EXPLOIT漏洞,所以不经用户的允许,便可以悄悄运行自动下载“爱情森林”病毒邮件(s.eml)并执行。然后此恶意网页会修改用户注册表进行破坏:将用户的IE标题改为:“sckiss.yeah.net/爱情森林”,使用户的“运行”菜单项无法使用,并且将用户的IE默认首页改为:“sckiss.yeah.net/”,此恶意网页还将此网址加入注册表中的RUN自启动项。这样以来,无论用户启动计算机还是启动IE浏览器,都可以自动链接到恶意网页,感染病毒。

  四、侵占系统目录,继续“生生不息”。

  “爱情森林”病毒通过QQ发送信息之后,便开始进行本机的感染。病毒首先改名为:“EXPLORER.EXE”,然后将之拷贝到WINDOWS的系统目录(SYSTEM或SYSTEM32)下,这样用户即使发现也不会起疑心,然后病毒修改注册表,在RUN的自启动项中建立一个EXPLORER的键值,将病毒路径加入其中,一旦计算机重启,病毒便可自动运行,再次进行以上感染。





资料来源:新浪科技
1620
 
相关文章
网络恶性蠕虫病毒紧急通告! (2002-11-25)
反病毒一周播报(2002.10.14-10.20) (2002-10-14)
IE枭雄 (Trojan.Nethief.IExplorer)病毒档案 (2002-10-05)
反病毒一周播报(2002.09.23-09.29) (2002-09-24)
反病毒一周播报(2002.09.16-09.22) (2002-09-17)
邮件分割功能惹祸 病毒可能躲过检测 (2002-09-16)
9月病毒排行榜 (2002-09-13)

热点专题
11月14日,Intel正式对外公布了使用最新"超线程"技术制造的新款CPU
历年来,"校园行"已经成为MSI在大陆的一项传统节目......
苏州电子信息博览会
首届中国电脑商500强
第五届中关村电脑节劲爆登场!
亚洲信息技术展览会——上海CEBIT展
P4强档暑假回馈大行动:挡不住的精彩!
ZOL简介 | 用户注册 | 广告服务 | 人员招聘(月) | ZOL历程 | 互动营销中心 | 站点地图 | 联系方式 | 欢迎投稿 | RSS订阅 | 友情链接
北京海淀区知春路113号银网中心A座9F 传真:010-62529275 反馈留言板 欢迎批评指正
Copyright © 1999 - ZOL. All rights reserved. 中关村在线 版权所有. 京ICP证010391号