基本介紹
- 外文名:Worm.Win32.Skipi.c/b
- 發現時間:2007.9
- 更新時間:2007.9
- 傳播方式:通過Skype傳播
- 病毒大小:188,416 位元組
基本信息,傳播過程,
基本信息
今年針對即時通訊工具(Instant Messenger)的攻擊數量有所上升,在各種Bot通過MSN傳播的同時,針對其他即時通訊工具的病毒也現身網際網路。
上周,我們收到來自一些網友的報告,稱在另一款著名即時通訊工具Skype上收到了可疑連結和話語。經過分析後,發現這是一個新的通過Skype軟體傳播的蠕蟲,Kaspersky檢測為Worm.Win32.Skipi。蠕蟲也會根據不同語言的系統來傳送相應的話語,同時含帶一個帶有蠕蟲本身的連結:
/<removed>/dsc<removed>.jpg">http://www.myimagespace.net/<removed>/<removed>/dsc<removed>.jpg
當用戶點擊這個連結後,會下載一個.scr的檔案,大小為188,416位元組。目前我們收到兩個版本的變種,Kaspersky分別檢測為Worm.Win32.Skipi.b、Worm.Win32.Skipi.c。
同時,我們也再次提醒廣大使用即時通訊工具的朋友們,一定要提高警惕。別讓病毒有可趁之機。
字串6
樣本MD5:f86f7c9642474bd93fb22185ec27ffee
樣本SHA1:79ad4bd13abbe0fe6fe818680de5ce417d66078e
字串6
關聯病毒:
傳播過程
通過Skype傳播 字串3
技術分析
========== 字串4
病毒通過在Skype上給好友傳送誘惑文字和連結進行傳播,連結中指向的是jpg檔案,實際上下載的卻是一個擴展名是scr圖示偽裝成JPG圖示的執行檔。 字串1
病毒運行後在系統目錄創建多個副本:
%System%\odcwinst.exe
%System%\servftc.exe
%System%\stwinsdat.exe
%System%\windb32.exe 字串4
並打開系統目錄下的Soap Bubbles.bmp圖片用以迷惑用戶。
字串5
創建啟動信息:
字串2
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
"Windows Sysdat"="explorer.exe odcwinst.exe"
"Logon Settings2"="odcwinst.exe"
字串7
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Services Start2"="odcwinst.exe"
設定註冊表信息:
字串8
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Policies Options2"=""
字串9
[HKEY_LOCAL_MACHINE\SOFTWARE\RMX\cfg]
"j"="j" 字串4
[HKEY_CURRENT_USER\Software\RMX\cfg]
"j"="j"
刪除註冊表信息:
字串1
[Copy to clipboard] [ - ]CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"System Driver2" 字串5
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Start Service2"
通過Skype傳送誘惑文字和病毒下載連結:
字串1
QUOTE:
pala biski
as net nezinau ka tavo vietoj daryciau. :S
matai :D
;) geras ane ? patinka ?
kas cia tavim taip isderge ? =]]
cia tu isimetei?
cia biski su photoshopu pazaidziau bet bet irgi gerai atrodai :D
zek kur tavo foto metos isdergta
(mm) kaip as taves noriu
ziurek kur tavo foto imeciau :D esi? 字串9
labas this (happy) sexy one
what ur friend name wich is in photo ?
u happy ?
oh sry not for u
oops sorry please don't look there :S
you checked ? :D
(rofl) (devil) :) really funny
now u populr
haha lol
I used photoshop and edited it
look what crazy photo Tiffany sent to me,looks cool where I put ur 字串6
photo :D
your photos looks realy nice
look
hey how are u ? :)
修改hosts檔案,禁止反病毒軟體相關網站。
字串9
清除步驟
========== 字串5
1. 結束病毒進程:
%System%\odcwinst.exe
%System%\servftc.exe
%System%\stwinsdat.exe
%System%\windb32.exe 字串6
2. 刪除病毒檔案:
%System%\odcwinst.exe
%System%\servftc.exe
%System%\stwinsdat.exe
%System%\windb32.exe
字串4
3. 刪除病毒添加的註冊表信息:
字串1
[Copy to clipboard] [ - ]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
"Windows Sysdat"="explorer.exe odcwinst.exe"
"Logon Settings2"="odcwinst.exe" 字串5
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Services Start2"="odcwinst.exe"
字串3
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Policies Options2"=""
字串3
[HKEY_LOCAL_MACHINE\SOFTWARE\RMX] 字串8
[HKEY_CURRENT_USER\Software\RMX]
4. 編輯hosts檔案,通常情況下僅保留一行即可: 字串8
[Copy to clipboard] [ - ]CODE:
127.0.0.1 localhost
字串4
