QQ尾巴假冒“五福娃”
今天有网友反映,在QQ上收到了一则假冒奥运吉祥物“五福娃”的QQ尾巴消息,消息如下:
h**p://info.91bbb.com/wufuwawa.htm
五福娃娃异形版
你不知道什么是五福娃娃
好丢人
提醒广大网友小心!小陌同时也作了一些分析:
打开该网页后,会显示“请稍等…正在为您连接最近的服务器”,然后指向h**p://yinyue84.com。同时会运行该网页代码下方的五段加密内容,加密内容如下:
1. 下载h**p://new.91bbb.com/ns/inter.chm
该chm文件大小12,135字节,释放inter.exe(4,287 字节),nspack加壳,是个downloader,从h**p://new.91bbb.com/ns/a.exe下载,该文件大小4,307字节,nspack加壳,仍是个downloader,从h**p://new.91bbb.com/ns/1.exe和h**p://new.91bbb.com/ns/2.exe下载。
1.exe,大小22,234字节,CRC32为9F711F3A,AVP报Trojan.Win32.StartPage.aem,会通过QQ发消息,并修改主页为h**p://yinyue84.com
2.exe,大小828,928 字节,是个rar的自解压文件,是密码结巴,会释放很多文件,其中winpass.exe同1.exe
P.S:inter.exe和a.exe,AVP、毒霸等最新的库仍不能查。
2. 打开h**p://new.91bbb.com/91.asp
该脚本用于打开ftp服务器,下载服务器上的inter.exe,同上
3. 打开h**p://new.91bbb.com/afu.htm
下载h**p://new.91bbb.com/afu.gif,大小10,246字节),Exploit.VBS.Phel.bq
4. 打开h**p://new.91bbb.com/61.htm
5. 打开h**p://yinyue84.com
AVP和毒霸的最新库已经可以查杀inter.exe和a.exe,AVP报为Trojan-Downloader.Win32.Small.bxa,毒霸报为Win32.Troj.DownMan.f.4307
已看到第二例这样的案例,除了以上的假信息外,还会假冒:
h**p:/ /%39%31%2E%39%31%62%62%62%2E%63%6F%6D/?______________◢██◣_______________________________________█⊙⊙█_______________________________________◤◥◤◥_____________________________________◢▔▂▂▔◣___________________________________◤▔▂▂▔◥_____________________________________╲▁▁╱_______________________________________╯╜╙╰_______________
若你看到的是一只企鹅 表示你的电脑非常先进
若你看到的是一堆乱码 表示你牡缒孕枰
>> 本文固定链接: http://www.vcgood.com/archives/178