12   1  /  2  页   跳转

关于QQ狐狸王新变种Worm.QQ.TopFox.ap

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-13 22:34 | 显示全部 短消息 资料
字号: 1楼

关于QQ狐狸王新变种Worm.QQ.TopFox.ap



Worm.QQ.TopFox.ap(实体文件:wmimgr32.exe)是“QQ狐狸王”的一个新变种。
在powershadow的保护下,观察了一下这个蠕虫的感染过程。果然很变态。中招后,系统基本上就残废了。有系统光盘的,杀毒后,就用光盘修复系统吧。没系统光盘的,有系统GHOST备份也行。
网上提到的查杀方法并不可靠。删除蠕虫启动项以及所有蠕虫件后,系统不再报文件被替换,但SSM仍报告explorer.exe和ctfmon.exe的MD5 值被更改。

从这个TOPFOX替换系统关键文件来看,中招后再杀毒,也解决不了根本问题。应将其视为一个恶性蠕虫。

下面几个附图是我观察到的感染过程:

图1-图5:替换系统重要文件
图6:不停的进程插入
图7:蠕虫创建/篡改的文件
—————————————
图1

附件附件:

下载次数:629
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-13 22:34:53
描述:



最后编辑2006-02-15 23:05:09
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-13 22:35 | 显示全部 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:375
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-13 22:35:40
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-13 22:36 | 显示全部 短消息 资料
字号: 3楼

图3

附件附件:

下载次数:304
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-13 22:36:08
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-13 22:36 | 显示全部 短消息 资料
字号: 4楼

图4

附件附件:

下载次数:349
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-13 22:36:34
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-13 22:37 | 显示全部 短消息 资料
字号: 5楼

图5

附件附件:

下载次数:297
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-13 22:37:04
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-13 22:37 | 显示全部 短消息 资料
字号: 6楼

图6

附件附件:

下载次数:251
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-13 22:37:33
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-13 22:38 | 显示全部 短消息 资料
字号: 7楼

图7

附件附件:

下载次数:261
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-13 22:38:16
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-13 23:08 | 显示全部 短消息 资料
字号: 8楼

引用:
【57kkz的贴子】你试的时候也瘫痪了?
那岂不是很麻烦
...........................

我是开着powershadow观察这个木马的。恢复到正常模式,系统的所有改变就全部消失了。这就是powershadow 的NB之处。
看见TopFox这几个字,不能不加小心啊。这个东东比原来那个更变态!!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-13 23:17 | 显示全部 短消息 资料
字号: 9楼

引用:
【影子110的贴子】这个木马(病毒)是通过打开网页自动下载到临时文件夹里且自动运行而感染系统的吗~~?
还是通过在QQ里发送图片,使对方中标的~~~??
...........................

我也不知道感染途径。
我这个样本是网上一哥们儿给的。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-13 23:21 | 显示全部 短消息 资料
字号: 10楼

引用:
【57kkz的贴子】看这截图应该是图片没错吧
...........................

木马是.exe文件。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT