“密蜂大盗”木马病毒分析报告

　　病毒名称：Trojan/PSW.MiFeng.70
　　 病毒大小：859,136
　　 传播方式：网络传播
　　 压缩方式：aspack
　　 软件类型： 木马
　　 危害程度：**

　　该病毒名为“密蜂大盗”，7.0版本。有强大的信息窃取、远程监控功能。病毒具有窃取几乎所有的密码，自动打开染毒者的摄像头，进行远程监控、远程摄像、遥控QQ、中止 防火墙 等五种危害。该病毒自身为合成文件，运行木马程序后，进程优先级较高不能正常手工清除，用户用KV杀毒软件直接清除。

　　感染过程：

　　1.利用“密蜂大盗”生成木马程序运行。

　　2.病毒运行后将创建下列文件(Trojan.exe为生成木马程序)，并且修改默认的屏幕保护程序，使病毒每隔一段时间自动运行。

　　%SystemDir%\Trojan.exe, 829316字节，木马本身
　　 %SystemDir%\三维管道.scr, 829316字节
　　 %SystemDir%\三维变形物.scr, 829316字节
　　 %SystemDir%\飞行 windows.scr, 829316字节
　　 %SystemDir%\三维飞行物.scr, 829316字节
　　 %SystemDir%\三维迷宫.scr, 829316字节
　　 %SystemDir%\三维文字.scr, 829316字节
　　 %WinDir%\isuninst.exe, 829316字节
　　 %WinDir%\isun0804.exe, 829316字节
　　 %WinDir%\isun0404.exe, 829316字节

　　并在SYSTEM.INI中添加：

　　scrnsave.exe=c:\windows\system\三维文字.scr

　　3.病毒通过修改下列 注册表 键值，修改文件关联：

　　[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
　　 "" = "c:\windows\system\Trojan.exe" "%1"

　　这样，用户打开任何txt文件，都会再次运行病毒程序。

病毒具体危害如下：

　　1．窃取密码

　　该病毒窃取几乎所有的密码及相关信息，包括：QQ、ICQ、雅虎通、Vicq、OutLook、FlashFXP、传奇、佣兵传说等（包含帐号、区等相关信息）；网页上的信息，如：邮箱、 document.clear ();

document.clear ();close(); document.clear (); document.writeln ("由于页面存在不良信息此页已被关闭"); location.href='about:blank'; /P>

　　4. 远控ＱＱ和QQ尾巴

　　该病毒利用QQ漏洞，会迫使染毒计算机QQ关闭，迫使重新登陆，间隙之中盗取QQ密码。病毒还会监控QQ聊天窗口，发送恶意信息、网站等。

　　5.强行关闭防火墙

　　该病毒自动检测感染计算机是否安装防火墙（病毒防火墙、邮件防火墙、防黑墙）一旦发现就强行结束，使其无法检测到黑客的链接操控。

　　6.自动下载运行

　　该病毒生成xxx.bmp和xxx.htm两个文件，如果将这两个文件上传到个人主页空间（动、静态空间均可），当访问xxx.htm，会利用IE漏洞自动下载木马病毒（IE不会有任何提示）并运行。

　　7.获取IP地址

　　病毒在窃取的信息中，包括IP地址及其对应的真实物理地址。黑客可以利用泄露的IP地址进行攻击。

　　8.图标伪装

　　该病毒可以定制木马的图标，在很大程度上欺骗诱导用户运行。

　　解决方案：针对该病毒江民公司在第一时间升级了病毒库，用户只需将KV江民杀毒系列软件智能升级到2004年6月24日最新版本，开启七套实时监控系统，即可将此病毒有效的杀死在系统之外，确保电脑不该病毒的侵扰。更多资讯请登陆江民网站查询： http://www.jiangmin.com