大揭秘：看清「QQ艷照門」病毒的欺詐手段

【賽迪網-IT技術報道】很多人對好友傳的圖片什麼的沒有戒心，往往不假思索的雙擊打開。

你要知道，有可能這個給你發消息的人，不是你的朋友，而是朋友的QQ號被盜了。一個被盜的QQ號上，最有價值的資源，其實是你的QQ好友。

騙子可以給好友發虛假消息，或者乾脆把病毒偽裝成照片什麼的發給你的好友。

看看這個圖，攻擊者把壓縮文件偽裝成「陳冠希原版相片.rar」。

1.打開這個壓縮文檔時，你會發現文件名很長，照片後面一串空格，最後才是exe。如果你這個時候不加思索直接雙擊肯定中招。

2.將這個文件解壓到桌面看一下，在缺省情況下，EXE的擴展名是不顯示的，而且這個文件中，空格的長度足夠長，就算你在文件夾選項中設置了選擇查看文件的擴展名，你也可能看不到。

我們以前曾經提過，某些不懷好意的人將木馬捆綁進艷照門的相關照片中傳播，也有的在相關照片下載網站植入木馬。最近，另一種利用「艷照門」主角照片傳播的病毒正在加速傳播。該病毒是一個木馬下載器，會通過USB隨身碟、移動硬碟傳播，同時會通過QQ聊天窗口發送病毒文件。該病毒的這些特點，很可能導致短期內傳播量加劇。

病毒特點

該病毒通過給 QQ 好友發送「陳冠希原版相片.rar」來進行傳播，自身通過鏡項劫持安全軟體和在驅動器下建立 autorun.inf 來自啟動，並下載 40 多種病毒木馬。結束安全軟體進程，並修改系統時間。修改註冊表破壞安全模式登錄，影響顯示隱藏文件。

病毒分析

1.創建自動運行文件，在各硬碟根目錄會發現explorer.pif 和autorun.inf文件

2.嘗試關閉以下安全軟體的進程

Safe.exe； 360tray.exe；VsTskMgr.exe；Runiep.exe；RAS.exe；UpdaterUI.exe；TBMon.exe；KASARP.exe；scan32.exe；VPC32.exe；VPTRAY.exe；ANTIARP.exe；KRegEx.exe；KvXP.kxp；kvsrvxp.kxp；kvsrvxp.exe；KVWSC.EXE；Iparmor.exe；AST.EXE

3.向QQ聊天窗口發送陳冠希原版相片.rar的病毒文件，該壓縮包充分利用了社會工程學原理進行欺騙，雙擊就會中招。

4.修改系統時間為2002年

5.嘗試停止安全軟體的服務

6.將自身拷貝到"C:/WINDOWS/system32/wuauc1t.exe"，並將屬性改為系統隱藏。

7.通過http://www.***.com/下載大量盜號木馬

8.修改

SOFTWARE/Microsoft/Windows/CurrentVersion/explorer/advanced/folder/hidden/showall/

9.刪除 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal /{4D36E967-E325-11CE-BFC1-08002BE10318}，來破壞安全模式，導致無法啟動系統到安全模式來殺毒。

10.映像劫持以下安全軟體為"C:/WINDOWS/system32/wuauc1t.exe"，使得運行以下軟體時，實際執行的是病毒程序。

360rpt.EXE； 360safe.EXE；360tray.EXE；AVP.EXE；AvMonitor.EXE；CCenter.EXE；IceSword.EXE；Iparmor.EXE；KVMonxp.kxp；KVSrvXP.EXE；KVWSC.EXE；Navapsvc.EXE；Nod32kui.EXE；KRegEx.EXE；Frameworkservice.EXE；Mmsk.EXE；Wuauclt.EXE；Ast.EXE； WOPTILITIES.EXE；Regedit.EXE；AutoRunKiller.exe；VPC32.exe；VPTRAY.exe； ANTIARP.exe；KASARP.exe；QQDOCTOR.EXE

解決辦法

1.使用進程管理器關閉 IEXPLORE.EXE、wuauc1t.exe、explorer.pif進程。

2.將金山清理專家主程序KASMAIN.EXE重命名，再執行。然後修復鏡項劫持、安全模式、和隱藏文件選項。

3.刪除以下文件：

%windir%/system32/wuauc1t.exe%TempPath%/ 陳冠希 原 版 相片 .rarc:/sys.pifc:/1~40.pif%windir%/system32/syurl.dll各驅動器下的explorer.pif和 autorun.inf

自動清除，升級殺毒軟體和金山清理專家到最新版本，即可防殺。

安全防範

金山毒霸反病毒專家提醒廣大用戶，防範此類病毒，除了及時打系統補丁，及時升級殺毒軟體外，應避免瀏覽不健康的網站，對好友傳來的文件包，不要輕易雙擊打開。中毒的原因，可能不是你的安全措施不嚴密，可能在於習慣性的雙擊動作。

(