美女图片病毒(传奇女贼)档案

IsaacZ

出处：瑞星安全资讯网
责任编辑：chenyong

[04-3-1 10:14] 作者：瑞星公司

　　警惕程度：★★★★
　　发作时间：随机
　　病毒类型：木马病毒
　　传播途径：QQ软件/网络
　　依赖系统: WINDOWS 9X/NT/2000/XP

　　病毒介绍：

　　2月27日，全球反病毒监测网率先截获一个传播非常迅速，破坏性很强的的恶性木马病毒，并命名为“美女杀手 (Trojan.Legend.Syspoet.b)”病毒，该病毒通过QQ发送虚假消息给在线好友,导致在线好友上当。病毒会将自己伪装成： http://qianhui.9966.org/zhaopian/me.jpg之类的网址，当用户点击该网址时会出现一副美女照片，当照片被打开的时候用户的电脑则已经被病毒感染。

　　该病毒会利用微软浏览器的漏洞进行攻击，浏览器版本级别低于<FONT color=#0000ff>IE6.0 SP1</FONT>的电脑染毒后，病毒会修改一些文件的关联，导致象OFFICE软件、任务管理器、注册表编辑器等程序无法使用，该病毒还会破坏资源管理器，只要用户打开目录的深度超过五级，病毒就自动关闭浏览器。该病毒会干掉含有“杀毒”字样的窗口，因此会造成一些反病毒软件及病毒专杀工具无法使用、一些反病毒公司的主页无法登陆等现象。另外该病毒会修改用户电脑的系统配置，导致用户重启系统时无法进入“我的电脑”。

　　病毒<FONT color=#ff0000>盗取《传奇》游戏的密码和其他信息，并通过十几个邮件服务器向外发送大量的病毒邮件，阻塞网络</FONT>。据瑞星反病毒工程师介绍，没有被感染的用户可以通过个人防火墙来预防该病毒，当用户发现有<FONT color=#ff0000>Mshta.exe</FONT>的程序访问外部网络时，应该立刻禁止，如果该程序访问网络成功，将会对用户电脑产生上述破坏。

　　该病毒利用年初发现的IE浏览器最新漏洞进行传播，<FONT color=#0000ff>由于微软IE浏览器在处理图片及脚本文件时存在缺陷</FONT>，远程攻击者可以利用这个缺陷对目标用户浏览器进行拒绝服务攻击或执行任意指令，因此该缺陷最终导致了“美女杀手”病毒的泛滥。请还未中毒的用户应尽快登陆http://www.microsoft.com/windows/ie/default.asp网址，将IE浏览器升级到最新版本。

　　<FONT size=4>病毒的特性、发现与清除：</FONT>

　　1. 病毒用VB语言编写，采用UPX压缩。

　　2. 病毒一旦执行，病毒将自我复制到系统文件夹，并重命名为随机文件名的可执行文件。

　　3. 病毒将在注册表启动项下，创建随机注册表键值来使自己随Windows系统自启动。

　　4. 终止带有下列字眼的程序的执行：瑞星、金山毒霸、江民、专杀、毒、木马、防火墙、监控、注册表编辑器、任务管理器、进程列表、进程管理、Antivirus、Trojan、REGSNAP、REGSHOT、REGISTRY MONITOR、W32DASM。

　　5. 通过QQ发送虚假消息给在线好友,导致在线好友上当。病毒链接包括：http://qiumei.3322.org/zhaopian/me.jpg；http://jiawei.6600.org/zhaopian/me.jpg；http://siting.8800.org/zhaopian/me.jpg；http://qianhui.9966.org/zhaopian/me.jpghttp://xiujuan.2288.org/zhaopian/me.jpg。

　　病毒链接伪装成美女图片：

　　

< align=center><IMG src="http://www.pconline.com.cn/pcedu/soft/virus/da/0402/pic/040227mmvirus.jpg">

　　6. 盗取游戏“传奇”的各种信息，将盗取的信息发送到可配置的指定邮箱。

　　专杀工具下载：

　　<a href="http://it.rising.com.cn/service/technology/RS_QQMsender.htm" target="_blank" >http://it.rising.com.cn/service/technology/RS_QQMsender.htm</A>