瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 关于QQ狐狸王新变种Worm.QQ.TopFox.ap
baohe - 2006-2-13 22:34:00


Worm.QQ.TopFox.ap(实体文件:wmimgr32.exe)是“QQ狐狸王”的一个新变种。
在powershadow的保护下,观察了一下这个蠕虫的感染过程。果然很变态。中招后,系统基本上就残废了。有系统光盘的,杀毒后,就用光盘修复系统吧。没系统光盘的,有系统GHOST备份也行。
网上提到的查杀方法并不可靠。删除蠕虫启动项以及所有蠕虫件后,系统不再报文件被替换,但SSM仍报告explorer.exe和ctfmon.exe的MD5 值被更改。

从这个TOPFOX替换系统关键文件来看,中招后再杀毒,也解决不了根本问题。应将其视为一个恶性蠕虫。

下面几个附图是我观察到的感染过程:

图1-图5:替换系统重要文件
图6:不停的进程插入
图7:蠕虫创建/篡改的文件
—————————————
图1


附件: 1558472006213223453.jpg
baohe - 2006-2-13 22:35:00
图2

附件: 1558472006213223540.jpg
baohe - 2006-2-13 22:36:00
图3

附件: 1558472006213223607.JPG
baohe - 2006-2-13 22:36:00
图4

附件: 1558472006213223634.JPG
baohe - 2006-2-13 22:37:00
图5

附件: 1558472006213223704.JPG
baohe - 2006-2-13 22:37:00
图6

附件: 1558472006213223732.jpg
baohe - 2006-2-13 22:38:00
图7

附件: 1558472006213223816.jpg
57kkz - 2006-2-13 22:56:00
你试的时候也瘫痪了?
那岂不是很麻烦
baohe - 2006-2-13 23:08:00
引用:
【57kkz的贴子】你试的时候也瘫痪了?
那岂不是很麻烦
...........................

我是开着powershadow观察这个木马的。恢复到正常模式,系统的所有改变就全部消失了。这就是powershadow 的NB之处。
看见TopFox这几个字,不能不加小心啊。这个东东比原来那个更变态!!
57kkz - 2006-2-13 23:11:00
powershadow
这东西很好啊
挺适合你用的~我就没有试病毒这嗜好
技术不过硬不敢随便试哈哈~
不过这病毒够绝的,种了的话就......
影子110 - 2006-2-13 23:15:00
这个木马(病毒)是通过打开网页自动下载到临时文件夹里且自动运行而感染系统的吗~~?
还是通过在QQ里发送图片,使对方中标的~~~??
baohe - 2006-2-13 23:17:00
引用:
【影子110的贴子】这个木马(病毒)是通过打开网页自动下载到临时文件夹里且自动运行而感染系统的吗~~?
还是通过在QQ里发送图片,使对方中标的~~~??
...........................

我也不知道感染途径。
我这个样本是网上一哥们儿给的。
57kkz - 2006-2-13 23:18:00
看这截图应该是图片没错吧
baohe - 2006-2-13 23:21:00
引用:
【57kkz的贴子】看这截图应该是图片没错吧
...........................

木马是.exe文件。
57kkz - 2006-2-13 23:23:00
.......
不知此病毒
差啥情况如何啊
baohe - 2006-2-13 23:25:00
引用:
【57kkz的贴子】.......
不知此病毒
差啥情况如何啊

...........................

手工查杀?我实在发怵。注册表改动的地方太多了。要不怎么说它变态呢。
57kkz - 2006-2-13 23:28:00
那要手工查杀还是个工程啊
杀软恐怕还无能为力吧~
baohe - 2006-2-13 23:29:00
引用:
【57kkz的贴子】那要手工查杀还是个工程啊
杀软恐怕还无能为力吧~
...........................

我还真没观察杀软的查杀效果。卡巴报这个木马。
等时间观察一下。
57kkz - 2006-2-13 23:31:00
那手工查杀还是个工程啊
杀软恐怕目前还无能为力吧
快乐如风2006 - 2006-2-14 0:09:00
还是不中毒的好!
不言放弃 - 2006-2-14 7:50:00
引用:
【57kkz的贴子】那要手工查杀还是个工程啊
杀软恐怕还无能为力吧~
...........................

个人认为
目前还不知有哪个杀软能够搞定这个东东
宇宙之巅 - 2006-2-14 8:25:00
引用:
【baohe的贴子】

wmimgr32.exe是“QQ狐狸王”的一个新变种。
在powershadow的保护下,观察了一下这个木马的感染过程。果然很变态。中招后,系统基本上就残废了。有系统光盘的,杀毒后,就用光盘修复系统吧。没系统光盘的,有系统GHOST备份也行。
网上提到的查杀方法并不可靠。删除木马启动项以及所有木马文件后,系统不再报文件被替换,但SSM仍报告explorer.exe和ctfmon.exe的MD5 值被更改。
下面几个附图是我观察到的感染过程:

图1-图5:替换系统重要文件
图6:不停的进程插入
图7:木马创建/篡改的文件
—————————————
图1

...........................
目前瑞星能发现它吗
taylor05771 - 2006-2-14 9:49:00
baohe 把 文件发给我
taylor0577@zj.com
记得 加上 密码123
goingtodie - 2006-2-14 9:54:00
这些作病毒坑害自己人的鬼真不要脸,有本事年攻击美国啊!!
没本事还瞎吹
baohe - 2006-2-14 10:43:00
引用:
【taylor05771的贴子】baohe 把 文件发给我
taylor0577@zj.com
记得 加上 密码123
...........................

晚上回家发给你。样本在家里的电脑中。
2116bromgamed2m - 2006-2-14 13:24:00
那这东西还真“牛”
如不小心中招后
只有重装系统。
闪电风暴 - 2006-2-14 13:39:00
中了干脆来GHOST算了~
taylor05771 - 2006-2-14 16:11:00
引用:
【闪电风暴的贴子】中了干脆来GHOST算了~
...........................

不是 啥 都是 ghost都能 解决得
上次 自己搞了个 病毒
加密了boot
ghost还 进不去呢
★心鉴★ - 2006-2-14 19:10:00
中了就只有重新装系统吗??
ヘ网络农民ヘ - 2006-2-15 16:29:00
蛮狡猾的病毒。..
12
查看完整版本: 关于QQ狐狸王新变种Worm.QQ.TopFox.ap
© 2000 - 2026 Rising Corp. Ltd.