蠕虫程序 Net-Worm.Win32.Skype.b

烟雨无声

病毒名称

Net-Worm.Win32.Skype.b

捕获时间

2007年9月16日

病毒症状  

　　该蠕虫是一个使用VC编写的病毒程序，长度为188,416 字节，图标为常规jpeg图片图标，病毒扩展名为exe／scr，传播途径主要为通过网络电话Skype附件进行传播。


病毒分析

　　该蠕虫程序被激活后，拷贝自身并重命名为stwinsdat.exe、odcwinst.exe、windb32.exe和servftc.exe到%SystemRoot%\system32目录下；执行stwinsdat.exe作为主进程，并把创建文件时间和修改文件时间修改为Windows目录下explorer.exe的时间，修改文件属性为只读、隐藏和系统；蠕虫进程注入explorer.exe后监视蠕虫主进程，通过枚举窗口（每60ms检测一次）和遍历进程（每150ms一次）的方式结束多种安全工具、系统工具和调试器；添加注册表启动项，使其能随系统一起启动。修改系统hosts文件，使得用户无法连接多种安全公司网站，无法升级安全软件，无法使用在线杀毒网页；遍历窗口查找Skype窗口发送病毒内置的随机消息，被发送的消息如下表；检测逻辑驱动器类型，在可移动存储介质（U盘、移动硬盘、数码相机）中释放病毒文件dideli_papai.scr、chuj.exe以及autorun.inf，通过脚本将移动存储介质的图标显示为病毒所使用的jpeg图标，与常规的U盘图标有较大区别。


中毒现象

　　Skype自动提示保存扩展名为scr的文件，并伴随病毒消息；U盘或移动硬盘图标变为jpeg图片图标


病毒发送的消息：

how are u ?
hey
look
your photos looks realy nice
look what crazy photo Tiffany sent to me,looks cool
where I put ur photo
I used photoshop and edited it
now u populr
haha lol
really funny
you checked ?
what ur friend name wich is in photo ?
this (happy) sexy one
ziurek kur tavo foto imeciau
(mm) kaip as taves noriu
zek kur tavo foto metos isdergta
cia biski su photoshopu pazaidziau bet bet irgi gerai atrodai
cia tu isimetei?
kas cia tavim taip isderge ?
patinka ?
geras ane ?
as net nezinau ka tavo vietoj daryciau.


病毒注册表启动项：

项：HKLM \SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
键值：services Start2
指向文件：odcwinst.exe
项：HKLM \SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
键值：Services Start2
指向文件：odcwinst.exe
项：HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
键值:：Logon Settings2
指向文件:：odcwinst.exe
项：HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
键值:：Windows Sysdat
字符串: "explorer.exe odcwinst.exe"


感染对象

Windows 98/Windows ME /Windows NT/ Windows 2000/ Windows XP


传播途径

Skype网络电话/可移动存储

安全提示

　　该程序是通过Skype(Tom-Skype)传播的蠕虫，传播性质与MSN蠕虫相仿，受到病毒攻击时Windows将弹出一个窗口，询问是否允许运行一个.scr文件，使用Skype的用户请留意此现象发生，以免中毒。

　　已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；


　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现Net-Worm.Win32.Skype.b”，请直接选择删除（如图2）。

heqibao