飞龙博客

深入经藏 智慧如海

2009专门 针对Skype的病毒 大盘点

feilong.org 修订于2009-11-05 07:17:31 882

由于skype收费电话直接和金钱挂钩,所以木马骇客眼睛就盯上了skype,专门针对Skype的病毒木马当然就层出不穷。下面飞龙收集盘点一下,让使用skype的用户们时刻保持警惕。

一、Worm.iM.skype是Skype蠕虫病毒
Worm.iM.skype在Win9X/2000/XP等操作系统上运行。被感染用户Skype的在线状态被莫名其妙设置为“免打扰”,同时给出一条警告消息,用户点击消息内的连接,就会登陆恶意网站,运行下载的文件后就会被病毒感染。

病毒运行后会打开一张女人照片,借此打消用户疑心。此病毒会自动向Skype好友发送含有病毒链接的信息,其它用户点击这些网址就可能被病毒感染。

二、wndriv32.exe病毒透过Skype传播
中了这个毒是打开了skype上联络人传的文件或网址。文件icon伪装成图档, 但实际上是个.scr档(scrrensaver)。

wndriv32.exe症状是:
[1]会执行 wndriv32.exe, 杀了以後仍会再起.
[2]skype会不能正常使用(视窗打不开也无法设状态, 要用工作管理员强制杀掉)
[3]工作管理员及regedit会无法开启(开启後被关掉)
[4]会写入一堆防毒公司网址及对应ip到 host 文件内, 企图让病毒码更新失败.

skype官网论坛上的讨论:
http://forum.skype.com/index.php?showtopic=96598&hl=wndriv
http://forum.skype.com/index.php?showtopic=96573&hl=wndriv

VirusTotal上测试的结果:
http://www.virustotal.com/resultado.html?bd55f32d292f8b0a0744affb10691713

三、Skype大盗变种a 借助Skype的VoIP网络电话服务进行传播
飞龙户使用Skype时,收到要求下载“sp.exe”文件的短信。查查后发现该执行文件为一种特洛伊木马,能够盗窃用户密码。如果用户PC上被安装了该款木马,那该木马就会自动向其它用户发送“sp.exe”文件,来不断进行扩散。 专门盗取“skype”网络电话账号的木马病毒“Skype大盗变种a”已经盯上了国内的1300万注册用户。

入侵电脑后,Skype大盗变种a 会将自身图标伪装成Skype程序图标。用户一旦点击图标,木马病毒就被激活,随后会打开一个高仿真“Skype”登录窗口,如果用户在这个仿冒的登录窗口中输入自己的网络电话账号和密码并点击“登录”按钮,病毒就会将用户的账号信息秘密发送到黑客指定的远程服务器站点上,致使用户的账号密码丢失,盗用账号上的资金。同时,病毒在盗号后还会显示出“文件丢失,请重新下载安装”的虚假信息蒙蔽用户。

“Skype大盗”变种a是“Skype大盗”木马家族,采用“Visual Basic 5.0 / 6.0”编写,经加壳保护处理,专门盗取“skype”网络电话账号的木马程序。“Skype大盗”变种a运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“wmpnetw.sys”。同时,还会在相同目录中释放恶意DLL组件“MSWINSCK.OCX”。“Skype大盗”变种a会通过修改注册表键“ShellExecuteHooks”的方式实现开机自动运行。

四、“克隆先生”变种yy是“克隆先生”木马家族中的最新成员之一
“克隆先生”采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。变种yy运行后,会在被感染计算机“%SystemRoot%\”目录下释放经过加壳保护的恶意程序“系统”(无扩展名),并设置文件属性为“系统、隐藏、只读”。

“克隆先生”变种yy运行时,会将恶意代码注入到新创建的“iexplorer.exe”进程中隐密运行,不断尝试与控制端(地址为:202.106.*.39:8000)进行连接,一旦连接成功,则被感染的计算机便会沦为骇客的傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作,其中包括:文件管理、进程控制、注册表操作、远程命令执行,屏幕监控、键盘监听、鼠标控制、视频监控等,会给用户的个人隐私甚至是商业机密造成不同程度的损失。

同时,骇客还可以向傀儡主机发送大量的恶意程序,从而对用户构成了更加严重的侵害。另外,“克隆先生”变种yy会在被感染计算机中注册名为“系统.com.cn”的系统服务(服务描述为“文件监控管理.”),以此实现木马开机自启。

五、w32/Ramex.A 病毒感染Windows版本Skype
w32/Ramex.A病毒会对Windows版本的Skype造成影响。遭到感染的电脑自动对其他Skype用户发出 Skype 聊天室文字讯息:请注意:除非 Skype 用户下载该网址连结的程序,并执行这个恶意软件,否则不会受到病毒感染。这段讯息会要求用户点击该链接。这段文字讯息已知有好几个版本,看似亲切的日常对话,诱使用户在不经意之下中毒!

怎么杀毒?下载并升级反病毒软件,然后在安全模式下给电脑查毒杀毒,也许是最好最安全的方法。如果你是电脑高手,可以选择手动清除该蠕虫病毒。
1. 以安全模式重新启动计算机;
2. 运行 regedit ;
3. 在 HKLM/software/microsoft/windows/currentversion/runonce 下找到含有 mshtmldat32.exe 的项,删除该项;
4. 在 Windows\System32 目录下删除以下文件:wndrivs32.exe,mshtmldat32.exe,winlgcvers.exe,sdrivew32.exe ;
5. 进入 windows/system32/drivers/etc ;
6. 找到文件 hosts ;
7. 用记事本打开该文件,用 ctrl+a 全选并删除所有项(该操作将恢复您的反病毒更新),保存并关闭;
8. 重新启动计算机。

六、Pykse-A蠕虫病毒的牟利异类
Pykse-A蠕虫病毒假扮成图片链接通过Skype即时消息传播。点击该链接便可看到一个身着寡衣、脚踏细高跟鞋的名叫Sandra的年轻模特。但是这只有在通过一个木马下载器下载并安装该了蠕虫病毒,使PC受到感染之后。

“一旦Pykse病毒被安装并运行,它将试图连接到许多远程网站,大概是企图通过增加它们点击率产生广告收入,”Sophos的高级技术顾问Graham Cluley说道。呵呵飞龙(www.feilong.org)觉得这个病毒有点异类。

七、Net-Worm.Win32.Skype.b 病毒
Net-Worm.Win32.Skype.b是蠕虫病毒,VC编写,图标为常规jpeg图片,扩展名为exe/scr,传播途径主要为通过网络电话Skype附件,感染对象有Windows 98/Windows ME /Windows NT/ Windows 2000/ Windows XP。中毒后,Skype自动提示保存扩展名为scr的文件,并伴随病毒消息;U盘或移动硬盘图标变为jpeg图片图标。

Net-Worm.Win32.Skype.b 通过Skype(Tom-Skype)传播,性质与MSN蠕虫相仿,受到病毒攻击时Windows将弹出一个窗口,询问是否允许运行一个.scr文件,使用Skype的用户请留意此现象发生,以免中毒。

该蠕虫程序被激活后,拷贝自身并重命名为stwinsdat.exe、odcwinst.exe、windb32.exe和servftc.exe到%SystemRoot%\system32目录下;执行stwinsdat.exe作为主进程,并把创建文件时间和修改文件时间修改为Windows目录下explorer.exe的时间,修改文件属性为只读、隐藏和系统;蠕虫进程注入explorer.exe后监视蠕虫主进程,通过枚举窗口(每60ms检测一次)和遍历进程(每150ms一次)的方式结束多种安全工具、系统工具和调试器;添加注册表启动项,使其能随系统一起启动。修改系统hosts文件,使得用户无法连接多种安全公司网站,无法升级安全软件,无法使用在线杀毒网页;遍历窗口查找Skype窗口发送病毒内置的随机消息,被发送的消息如下表;检测逻辑驱动器类型,在可移动存储介质(U盘、移动硬盘、数码相机)中释放病毒文件dideli_papai.scr、chuj.exe以及autorun.inf,通过脚本将移动存储介质的图标显示为病毒所使用的jpeg图标,与常规的U盘图标有较大区别。

病毒可能发送的消息:
how are u ?
hey
look
your photos looks realy nice
look what crazy photo Tiffany sent to me,looks cool
where I put ur photo
I used photoshop and edited it
now u populr
haha lol
really funny
you checked ?
what ur friend name wich is in photo ?
this (happy) sexy one
ziurek kur tavo foto imeciau
(mm) kaip as taves noriu
zek kur tavo foto metos isdergta
cia biski su photoshopu pazaidziau bet bet irgi gerai atrodai
cia tu isimetei?
kas cia tavim taip isderge ?
patinka ?
geras ane ?
as net nezinau ka tavo vietoj daryciau.

病毒注册表启动项:
项:HKLM \SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
键值:services Start2
指向文件:odcwinst.exe
项:HKLM \SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
键值:Services Start2
指向文件:odcwinst.exe
项:HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
键值::Logon Settings2
指向文件::odcwinst.exe
项:HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
键值::Windows Sysdat
字符串: "explorer.exe odcwinst.exe"

飞龙后话:盘点了一下专门针对Skype的病毒,飞龙再来整理一些安全常识,预防Skype的病毒的入侵,保护你的skype帐号和里面的点数。本日志更新修订地址

1.最好安装专业杀毒软件进行全面监控。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2.并及时升级病毒代码库。
3.不要随意打开邮件中的附件,尤其是来历不明的邮件。
4.在适当时候进行全网病毒查杀。
5.关闭共享目录。
6.为电脑管理员帐户和skype账户设置强口令,不要为空或过于简单。
7.不要相信skype中奖的信息,skype的惊喜幸运抽奖活动,你不要管它是真是假,就是你看了公证书也不会有什么作用的。

更多skype资料http://feilong.org/Skype

博主:飞龙.org
更新:http://feilong.org/skype-bingdu
加入收藏夹,查看更方便,feilong.org

更新网址:http://feilong.org/skype-bingdu
最初发布:20091102 11:32:52 feilong.org 于广州

加入收藏夹,查看更方便。

所在分类: 未分类

飞龙前端QQ群