【SECO13-7-1401】QQ蠕虫样本

思齐鼠

样本报告来自Security Observer安全响应平台:http://seco.avkit.net
病毒样本概要

样本编号：SECO2013-7-1401
样本标题：QQ蠕虫样本
提交作者：vlo520
提交时间：2013-7-13
公开时间：2013-7-16
病毒类型：蠕虫类
感染平台：windows系列
M    D    5：028F8F409DD99B5A8EA3393C7EEB**3F
大         小：848523 字节
加壳类型：UPX
开发工具：易语言
病毒简介:
该样本运行完之后，会自动上传病毒本体到QQ群共享或者发布一些动态信息诱使其他人下载病毒样本，从而达到传播的目的。此外样本可能还会下载一些其他的推广软件。

样本状态

2013-7-15 11：40 火绒：已经受理并响应
2013-7-15 17：30 管家：已经受理并响应
2013-7-15 12：00 微点：已经受理并响应
2013-7-15 12：00 360： 已经受理并响应

病毒样本详情：

披露状态：
2013-7-14 Security Observer确认此病毒样本并向主流反病毒厂商发出预警
2013-7-16 Security Observer确认主流反病毒厂商已经针对此病毒响应
2013-7-16 Security Obsevrer公开样本下载地址，对此病毒的跟踪到此结束
下载地址：http://pan.baidu.com/share/link? ... 9505&fid=2117376342

样本分析：
暂无数据

响应状态：
2013-7-14 截止目前暂未收到上述安全实验室响应回复邮件
2013-7-14 火绒安全实验室收到样本并对此进行分析处理
2013-7-15 火绒安全实验室对该类病毒已经响应
2013-7-15 微点安全实验室中收到样本并对此进行分析处理
2013-7-15 微点安全实验室对该类病毒已经响应
2013-7-15 360安全实验室对该类病毒已经响应
2013-7-15 QQ电脑管家安全实验室对该类病毒已经响应

厂商回应：
火绒安全实验室：
感谢你上报的样本，由于此病毒传播方式的独特性，可导致短时间内带来大量用户中毒，且这段时间极为流行，危害大、影响域广。火绒会在下一个版本升级后查杀。
RANK：5

微点安全实验室：
请等待微点的升级和更新，感谢您的反馈。
RANK：*

360安全实验室：
您好，感谢您的反馈，您提交的程序已经有了风险提示，请您核实。
RANK：*

版权声明：转载请注明来源 @vlo520@Security Observer
样本审核：E剑忠晴

消停

Filename: 34567.exe
Threat name: SONAR.Heuristic.110
Full Path: Not Available

____________________________



Details
Very Few Users,  Very New,  Risk High





Origin
Downloaded from
 Unknown





Activity
Actions performed: 6



____________________________



On computers as of 
2013-7-16 at 7:41:58


Last Used 
2013-7-16 at 7:41:58


Startup Item 
No


Launched 
Yes


____________________________


Very Few Users
Fewer than 5 users in the Norton Community have used this file.

Very New
This file was released less than 1 week  ago.

High
This file risk is high.

SONAR Protection monitors for suspicious program activity on your computer.



____________________________



Source: External Media



Source File:
explorer.exe




File Created:
34567.exe




____________________________

File Actions

File: c:\users\administrator\desktop\ 34567.exe Removed
____________________________

Registry Actions

Registry change: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\Software\ SogouInput.user->SogouComponentFirstLoad:1373931713 Repaired
____________________________

Network Actions

Event: Network activity (Performed by c:\users\administrator\desktop\34567.exe, PID:412) No action taken
____________________________

System Settings Actions

Event: Process start (Performed by c:\users\administrator\desktop\34567.exe, PID:412) No action taken
Event: Process start: c:\users\administrator\desktop\ 34567.exe, PID:412 (Performed by c:\users\administrator\desktop\34567.exe, PID:412) No action taken
____________________________

Suspicious Actions

(Performed by c:\users\administrator\desktop\34567.exe, PID:412) No action taken
____________________________


File Thumbprint - SHA:
Not available
File Thumbprint - MD5:
Not available

星晨

Avira TR/Strictor.18841.11

swq0503

检测到两个，其实就是一个文件，压缩了一个有害文件和一个gif图片

jml521m

   金山火眼鉴定

蓝雨风暴

费尔报的很果断

思齐鼠

蓝雨风暴 发表于 2013-7-16 08:44
费尔报的很果断

有些东西想商量一下，已经PM你了

小洪

哈哈，我的样本

shihaono1

可牛

思齐鼠

小洪 发表于 2013-7-16 09:31
哈哈，我的样本

感谢小洪~