8月23日下午,瑞星全球病毒监控中心截获了一个传染能力极强的恶性QQ病毒――“爱情森林”(trojan.sckiss)。据瑞星公司的反病毒工程师介绍,此病毒会利用QQ软件,诱惑用户打开一恶意网页,而该网页会自动下载病毒并修改注册表。
“爱情森林”病毒的制作者利用QQ聊天机制,向用户发送“http://sckiss.yeah.net这个你去看看!很好看”的信息。如果用户收到此信息,并点击该链接,则会进入一个包含恶性攻击代码的恶意网页,此时病毒将会被自动下载并发作。同时,病毒还会利用用户的QQ好友名单,继续向外扩散。
该恶意网页用JS脚本语言编写,利用了JAVA EXPLOIT漏洞,所以不经用户的允许,便可以悄悄自动下载“爱情森林”病毒并执行。而后此恶意网页会修改用户注册表以进行破坏,并将用户的IE标题和IE默认首页改为:sckiss.yeah.net爱情森林。同时使用户的“运行”菜单项无法使用,并将这个网址也加入注册表中的RUN自启动项。
目前,网络上使用QQ软件的注册人数已经超过1个亿,而从今年病毒的发作情况来看,已经有将近100种QQ类型的病毒出现。由此可以看出,利用QQ这类通讯工具来进行传播的病毒,已经逐渐成为新病毒的流行趋势。
据瑞星公司的近日统计,截止到下午2:00,瑞星技术服务部门已经接到求援电话100余个,该病毒的传播范围还极有可能进一步扩大。
据悉,瑞星杀毒软件公司将于23日晚进行紧急升级,请广大瑞星用户尽快升级到14.23.01版本查杀“爱情森林”病毒。同时,瑞星反病毒小组也在密切关注给病毒的进一步发展动态。
“爱情森林”病毒分析
于2002年8月23日上午开始通过QQ聊天程序快速扩散的QQ恶性木马病毒—爱情森林(Trojan.Sckiss)被瑞星公司率先查杀。
病毒基本资料:
病毒名:Trojan.Sckiss
病毒长度:176,643字节
病毒原名:HACK.EXE
原始病毒邮件名:s.eml
此病毒用UPX软件进行压缩,压缩后大小接近200K,是一个异常庞大的病毒。而且此病毒利用了多种方式进行传播:本机感染,QQ诱骗、网页帮凶,所以有极强的传播能力,请用户密切注意此病毒的最新动向。
经瑞星反病毒专家分析,此病毒有以下特性:
一、利用邮件包装,形成自启动邮件。
病毒的原始文件是一个名为HACK.EXE的木马病毒,病毒作者为了能使病毒“初战告捷”,迅速占领用户计算机,利用了OUTLOOK的邮件漏洞,将原始病毒包装成一个可以预览执行的病毒邮件:s.eml,然后放入一个恶意网页中,等待下载。
二、利用QQ工具,发送伪装信息。
如果用户不小心点击或预览了病毒邮件,病毒便可执行。病毒执行时会搜索用户的QQ程序,如果用户在线的话,病毒会伪装成用户,给用户的所有在线的好友发送一条用户无法查觉的隐藏信息,此信息的内容为:“http://sckiss.yeah.net这个你去看看!很好看的”如果用户的好友在收到了此信息后,因为好奇而点击了此链接,则会进入一个恶意网页。
三、利用恶意网页帮凶,导致病毒泛滥.
该恶意网页用JS语言编写,利用了JAVA EXPLOIT漏洞,所以不经用户的允许,便可以悄悄运行自动下载“爱情森林”病毒邮件(s.eml)并执行。然后此恶意网页会修改用户注册表进行破坏:将用户的IE标题改为:“sckiss.yeah.net/爱情森林”,使用户的“运行”菜单项无法使用,并且将用户的IE默认首页改为:“sckiss.yeah.net/”,此恶意网页还将此网址加入注册表中的RUN自启动项。这样以来,无论用户启动计算机还是启动IE浏览器,都可以自动链接到恶意网页,感染病毒。
四、侵占系统目录,继续“生生不息”。
“爱情森林”病毒通过QQ发送信息之后,便开始进行本机的感染。病毒首先改名为:“EXPLORER.EXE”,然后将之拷贝到WINDOWS的系统目录(SYSTEM或SYSTEM32)下,这样用户即使发现也不会起疑心,然后病毒修改注册表,在RUN的自启动项中建立一个EXPLORER的键值,将病毒路径加入其中,一旦计算机重启,病毒便可自动运行,再次进行以上感染。
