今天中午,小陌接到网友发来的mail,说其中了qq尾巴。两个qq尾巴的网址为:QQ.5qt.net,4OO.net。中招用户的qq上会自动加入“h**p://***.4OO.net 帮忙看看这个网站打不打的开?
这个网站送QQ秀的衣服了,h**p://***.QQ.5qt.net 一个QQ号可以申请10个QQ秀的衣服”等字样。诱惑力也是非常大的。小陌对两个网页进行了初步分析,现给出分析报告:
两个网页都分别冒充“QQ彩信频道”,网页结构与mydj2005的一样。真正要打开的是test3.htm网页,该网页上含有leun.swf文件,里面含有一个js文件,通过js文件下载chm文件,释放出一个downloader,木马仍是“武汉男生2005”。由于网站的原因,小陌没能下载到该网站上的样本,所以目前还无法判断是否为新版本的“武汉男生2005”,但从网友那边反馈的情况来看,与mydj2005生成的木马一样。同时网页上还含有“冰狐浪子”木马,释放出的#.exe文件(此乃传奇木马,毒霸报为Troj.Mir2.yi.76007)。
小陌再次提醒广大qq用户小心。
附上mydj2005的手工清理方法(以供参考):
1. ctrl+alt+del,调出“任务管理器”,在“进程”中终止一个叫Explorer.exe的进程。终止后,桌面会暂时消失,不要慌张,这时只要在“任务管理器”的“文件”中点击“新任务”,然后输入explorer即可。
2. 删除%windows%目录下的sent.exe,bak.exe,%system%目录下的down1.exe,down2.exe,down3.exe,whboy.exe,msapi.exe以及whboy.dll
3. win9x用户:打开system.ini文件,将shell项修改为shell=Explorer.exe
win2000/xp/2003用户:打开注册表编辑器(方法:开始,运行,输入“regedit.exe”),然后定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon,在右面的板块中选中shell键值,右击修改,将“Explorer.exe %system%whboy.exe”修改为“Explorer.exe”即可。
附:%windows%为c:/windows(win9x/XP/2003)或c:/winnt(win2000);
%system%为c:/windows/system(win9x)或c:/windows/system32(XP/2003)或c:/winnt/system32(win2000)