Simone任务管理器里有一个进程名为" wowexec"(注意wowexec前有一个空格)
的有关信息介绍如下:
进程文件: wowexec 或者 wowexec.exe进程名称: Microsoft Windows On Windows Execution Process出品者: Microsoft Corp.属于: Microsoft Windows On Windows Execution Process系统进程: 是后台程序: 否使用网络: 否硬件相关: 否常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0间谍软件: 否 Adware: 否 病毒: 否 木马: 否 可此进程前面有空格,我怀疑是病毒请参考下列资料:警惕最新QQ.Email蠕虫安天CERT小组一、概述病毒名称:Email-Worm.Win32.VB.ac文件大小:13.279k编写语言:Microsoft Visual Basic 壳类型:UPX-Scrambler RC1.x -> 近两日,众多QQ用户经常接到别人发来的QQ邮件,请小心不要打开查看,以免中木马。该蠕虫使用文本图标和.txt.exe扩展名伪装自身,诱导用户执行蠕虫体。二、分析:(vvv是被屏蔽掉的连接)1、 蠕虫运行后,会弹出一个文件格式无效的对话框,迷惑用户,并将自身拷贝到系统目录%system%为:C:\WINDOWS\system32\Inetdbs.exe 文件属性为:RHS同时将自身加入到系统注册表启动项目:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键名:Inet DataBase 键值:"C:\WINDOWS\System32\Inetdbs.exe"2、然后蠕虫会到:http://www.vvv.com/image/new.jpg下载一个139.264字节的new.jpg文件,此文件为PE格式,使用PEncrypt 3.1 Final加壳,实际为Backdoor.PowerSpider.a,即国内流传的密码解霸。 3、将下载的new.jpg改名为~DF41F8.EXE并执行。执行后释放将自身拷贝到系统目录:拷贝文件为:C:\WINDOWS\system32\mstext32.dll 7KB C:\WINDOWS\system32\�wowexec.exe 140KB其中mstext32.dll是RiskWare.PSWTool.Finder.a,一个用来进行hook 查找密码的dll库。并增加注册表启动项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键名:MSIEXEC 键值:"�wowexec.exe"该木马还会在注册表中增加如下键值,用来存储自身设置:HKEY_CLASSES_ROOT\ZPwd_box HKEY_CLASSES_ROOT\ZPwd_box tmUpgrade_p dword:41bfabb0HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box tmUpgrade_p dword:41bfabb04、wowexec.exe 会访问编号为:163com[20030606]、IP:202.108.44.153的163信箱,获取升级信息。端口:110用户wdboxup密码:shengjile密码解霸是危害比较大的木马,可以获取各种及时通讯软件、EMAIL、网络游戏、网络银行、IE中输入的各种密码等。5、在重启动后Inetdbs.exe会被运行,运行后会下载http://www.vvv.com/b.wav文件,该文件为一zip包裹,为蠕虫体自身。在%temp%目录下重名为~DF0032.ZIP,用来作为发送邮件的备用附件。还会到http://freehost23.vvv.com/wpzkq/MSWINSCK.OCX控件保存到%system%目录下,确保在某些系统上能够正确发送EMAIL,该控件为VB 网络支持库。同时会将该控件在注册表的MSWinsock.Winsock和Classid进行注册。6、Inetdbs.exe 会模仿FOXMAIL 5.0 进行发送垃圾邮件:邮件标题为下面其中一种:我爱你,我想你,你喜欢我吗,重要,绝密,我的简历,求职书,求职信,我学计算机,有没有空的职务,生日快乐,你好可爱,自荐书,申请书,请柬,井冈山三日游,天工旅游公司,系统补丁,推广赚钱技术,激情万种,邀请,免费会员,你爱我吗,你想我吗,对不起,别生气,道歉内容为下面一种:详情查看附件,重要文件,就要附件中,注意查收,立即查看,作品,文件,文档,详情,附件中,压缩包内,压缩包,解压即可,打开压缩包,看了没有7、发送垃圾邮件过程:220 qs20.qq.com ESMTP QQ Mail ServerHELO XPPROSP1250 qs20.qq.commail from: ockt@uixj.com250 Okrcpt to: 97986@qq.com250 OkDATA354 End data with .From: ockt@uixj.comDate: Wed, 15 Dec 2004 13:59:55 +0800X-Mailer: Foxmail 5.0 [cn]To: 97986@qq.comSubject: 游戏币防盗专家Mime-Version: 1.0Content-Type: multipart/mixed;boundary="=====line_63193098====="This is a multi-part message in MIME format.--=====line_63193098=====Content-Type: text/plain;charset="GB2312"Content-Transfer-Encoding: 7bit附件中--=====line_63193098=====Content-Type: application/octet-stream;name="游戏币防盗专家.zip"Content-Transfer-Encoding: base64Content-Disposition: attachment;filename="游戏币防盗专家.zip"...三、解决办法:1、使用AGB4清除2、根据分析删除对应文件,恢复注册表键值。
