注意,最终的测试分析报告已于2007年10月5日发布,请参阅http://www.cnitblog.com/CoffeeCat/archive/2007/10/06/34427.html
2007年10月4日测试报告:测试环境:Windows XP
杀毒软件:F-Secure Anti-Virus Client Security 6.00
结果:
在更新时发现病毒已发现病毒症状:
1:每个分区下都出现了auto.exe和autorun.inf
2:生成X:\WINDOWS\msccrt.exe病毒文件,并试图修改注册表的启动项,以便该文件能在系统启动时运行。
2:在IE临时文件夹中的WDYBKLY7文件夹中生成MY0616[1].EXE,木马病毒(Trojan-PSW.Win32.OnLineGame)
3:在系统文件夹(X:\Windows\System32)中生成K11914981222.EXE,木马病毒(Trojan-PSW.Win32.OnLineGame)
4:在IE临时文件夹中的WDYBKLY7文件夹中生成MY0618[1].EXE,木马病毒(Trojan-PSW.Win32.OnLineGames.edd)
5:在系统文件夹(X:\Windows\System32)中生成K11914981276.EXE,木马病毒(Trojan-PSW.Win32.OnLineGames.edd)
6:在IE临时文件夹中的WDYBKLY7文件夹中生成DH0616[1].EXE,木马病毒(Trojan-PSW.Win32.OnLineGames.dqi)
7:在系统文件夹(X:\Windows\System32)中生成K11914981287.EXE,木马病毒(Trojan-PSW.Win32.OnLineGames.dqi)
8:由于病毒文件太多,不适合详细列举,下面仅列出病毒的文件名。
QQSG[1].EXE
K11914981298.EXE
ZT0616[1].EXE
CQ0619[1].EXE
K119149813412.EXE
DH3[1].EXE
K119149813513.EXE
CS0619[1].EXE
K119149813815.EXE
WM[1].EXE
9:我相信还有更多,以前还发现该病毒会盗取QQ帐号
舞街区程序更新时的观察日志: 连接服务器58.211.140.4,端口8121(获取更新文件列表,即ini配置文件)
连接服务器124.129.17.7(舞街区网通2的更新服务器),端口随机(10000以上)
连接服务器222.73.19.183,端口80(这个是网页)
连接服务器218.30.85.133,端口80(还是网页)
连接服务器222.73.254.67,端口80(网页)
在分区下发现auto病毒
......
病毒来源初步分析: 由于感染病毒的时候,更新还没有完成,所以,病毒不是由更新文件引起的。那病毒是哪儿来的呢?
病毒源来自舞街区程序内打开的网页,其过程,就如同我们用IE浏览器打开一个有病毒的网页一样。 由于舞街区程序内嵌的网页技术采用IE内核实现,而IE又是一个极易受感染的浏览器,当然,也就可以通过舞街区程序来感染我们的电脑。
所以,病毒源来自以下3台服务器中的某个带有病毒的网页
服务器1:
ip:222.73.19.183
域名:www1.itsun.com
服务器2:
ip:218.30.85.133
域名:5jq.hanghai.com
服务器3:
ip:222.73.254.67
域名:itsun.com