“QQ艳照门”病毒大揭密

【51CTO.com 综合报道】我们以前曾经提过，某些不怀好意的人将木马捆绑进艳照门的相关照片中传播，也有的在相关照片下载网站植入木马。最近，金山毒霸全球反病毒监测中心监测到另一种利用“艳照门”主角照片传播的病毒正在加速传播。该病毒是一个木马下载器，会通过U盘、移动硬盘传播，同时会通过QQ聊天窗口发送病毒文件。该病毒的这些特点，很可能导致短期内传播量加剧。

病毒特点

该病毒通过给 QQ 好友发送“陈冠希原版相片.rar”来进行传播，自身通过镜项劫持安全软件和在驱动器下建立 autorun.inf 来自启动，并下载 40 多种病毒木马。结束安全软件进程，并修改系统时间。修改注册表破坏安全模式登录，影响显示隐藏文件。

病毒分析

1.创建自动运行文件，在各磁盘根目录会发现explorer.pif 和autorun.inf文件

2.尝试关闭以下安全软件的进程
Safe.exe； 360tray.exe；VsTskMgr.exe；Runiep.exe；RAS.exe；UpdaterUI.exe；TBMon.exe； KASARP.exe；scan32.exe；VPC32.exe；VPTRAY.exe；ANTIARP.exe；KRegEx.exe； KvXP.kxp；kvsrvxp.kxp；kvsrvxp.exe；KVWSC.EXE；Iparmor.exe；AST.EXE

3.向QQ聊天窗口发送陈冠希原版相片.rar的病毒文件，该压缩包充分利用了社会工程学原理进行欺骗，双击就会中招。

4.修改系统时间为2002年

5.尝试停止安全软件的服务

6.将自身拷贝到"C:\WINDOWS\system32\wuauc1t.exe"，并将属性改为系统隐藏。

7.通过http://www.***.com/下载大量盗号木马

8.修改"SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall\"的 CheckedValue项改为 0（默认为１），破坏显示隐藏的系统文件

9.删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal \{4D36E967-E325-11CE-BFC1-08002BE10318}，来破坏安全模式，导致无法启动系统到安全模式来杀毒。

10.映像劫持以下安全软件为
"C:\WINDOWS\system32\wuauc1t.exe"，使得运行以下软件时，实际执行的是病毒程序。
360rpt.EXE； 360safe.EXE；360tray.EXE；AVP.EXE；AvMonitor.EXE；CCenter.EXE；IceSword.EXE； Iparmor.EXE；KVMonxp.kxp；KVSrvXP.EXE；KVWSC.EXE；Navapsvc.EXE；Nod32kui.EXE； KRegEx.EXE；Frameworkservice.EXE；Mmsk.EXE；Wuauclt.EXE；Ast.EXE； WOPTILITIES.EXE；Regedit.EXE；AutoRunKiller.exe；VPC32.exe；VPTRAY.exe； ANTIARP.exe；KASARP.exe；QQDOCTOR.EXE

解决办法

1.使用进程管理器关闭 IEXPLORE.EXE、wuauc1t.exe、explorer.pif进程。
2.将金山清理专家主程序KASMAIN.EXE重命名，再执行。然后修复镜项劫持、安全模式、和隐藏文件选 项
3.删除 以下文件：
%windir%\system32\wuauc1t.exe
%TempPath%\ 陈冠希 原 版 相片 .rar
c:\sys.pif
c:\1~40.pif
%windir%\system32\syurl.dll
各驱动器下的explorer.pif和 autorun.inf

自动清除，升级金山毒霸和金山清理专家到最新版本，即可防杀。未安装金山毒霸的用户可登陆www.duba.net进行免费下载。

安全防范

金山毒霸反病毒专家提醒广大用户，防范此类病毒，除了及时打系统补丁，及时升级杀毒软件外，应避免浏览不健康的网站，对好友传来的文件包，不要轻易双击打开。中毒的原因，可能不是你的安全措施不严密，可能在于习惯性的双击动作。有关类似病毒的欺骗和防骗手法，请阅读：http://bbs.duba.net/thread-21915564-1-1.html