一、概述:
病毒名称:Email-Worm.Win32.VB.ac
文件大小:13.279k
编写语言:Microsoft Visual Basic
壳类型:UPX-Scrambler RC1.x -> ㎡nT畂L
近两日,众多QQ用户经常接到别人发来的QQ邮件,请小心不要打开查看,以免中木马。
该蠕虫使用文本图标和.txt.exe扩展名伪装自身,诱导用户执行蠕虫体。
二、分析:(vvv是被屏蔽掉的连接)
1、 蠕虫运行后,会弹出一个文件格式无效的对话框,迷惑用户,并将自身拷贝到系统目录%system%为:
C:\WINDOWS\system32\Inetdbs.exe 文件属性为:RHS
同时将自身加入到系统注册表启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Inet DataBase 键值:"C:\WINDOWS\System32\Inetdbs.exe"
2、然后蠕虫会到:密码解霸。
3、将下载的new.jpg改名为~DF41F8.EXE并执行。执行后释放将自身拷贝到系统目录:
拷贝文件为:
C:\WINDOWS\system32\mstext32.dll 7KB
C:\WINDOWS\system32\