[病毒专区]“QQ叛徒”技术分析

一斛酒

简介：该病毒使用delphi编写，采用ASpack压缩，是一个通过监视QQ的消息来进行远程控制的木马。
一、病毒评估
1．病毒中文名： QQ叛徒
2．病毒英文名：Trojan.QQbot.a
3．病毒别名： 无
4．病毒大小：659456字节
5．病毒类型：木马
6．病毒危险等级：★★★★
7．病毒传播途径：网络
8．病毒依赖系统：Windows 95 Windows 98 Windows ME Windows 2000 Windows XP
二、病毒技术细节：
该病毒使用delphi编写，采用ASpack压缩，是一个通过监视QQ的消息来进行远程控制的木马。一旦运行，病毒将执行下列操作：
1.病毒将修改注册表，添加"registry" = "%CURBASE%\%CURFILE"到键值：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run下，这样病毒就可以随系统自启动。
2.病毒通过监视QQ的接收消息来响应远程控制端的操作：
病毒可以执行的操作包括：上传、下载、执行文件，共享硬盘，关闭、重启计算机，抓屏并发送EMail，通过进程名或ID来终止进程的运行，关闭、卸载木马等。
3.病毒的远程控制端通过生成相应的QQ消息来控制其服务端，发送的消息跟病毒进行的操作对应如下：
　　"去看看！wsdgs!!@@iXT 3;lGim OKdrk uLL&&ldUimlw$$"->此发送的消息为下载木马网址；（@@后面是随机字符）
　　"我看看！wsdgs@@0/$s^t&&"->此消息为从染毒机器中下载文件；
　　"你好啊！wsdgs@@1234567&&"->此消息为共享C盘；
　　"去试试！wsdgs@@iXT 3;lGim OKdrk uLL&&"->此消息执行文件；
　　"死机了？wsdgs"->关机；
　　"掉线了？wsdgs"->重启；
　　"在干嘛？wsdgs!!"->抓屏并Mail；
　　"还在啊？wsdgs!!"->列举进程并Mail；
　　"怎么了？wsdgs@@1234&&"->关闭进程；
　　"冷雨打芭蕉"->关闭对方QQ；
　　"江湖一剑飘"->关闭木马；
　　"天涯任逍遥"->卸载木马；
三、安全建议：
1.建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。
2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。
3.经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。
4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。
6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。
7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）、遇到问题要及时上报，这样才能真正保障计算机的安全。

骨头

受教了，特别是第一条：“不要上一些不太了解的网站”，这样会失去好多的信息资源啊。
比如搜索的东西，就很难知道其所在的网站的可靠性啊。
我感觉只能尽量避免而已~！

一斛酒

下面引用由骨头在 2004/05/27 11:10pm 发表的内容：
“不要上一些不太了解的网站”，这样会失去好多的信息资源啊。
比如搜索的东西，就很难知道其所在的网站的可靠性啊。
我感觉只能尽量避免而已~！

是啊，只能尽量避免，这些东西不太可能杜绝的，呵呵~

骨头

呵呵~
受教了，网络虽然是好东西，但是也有很多弊端啊~！

一斛酒

只要利大于弊就成了，呵呵

天生狼心

编病毒的人太多了~~~~