[公告]中国暗域网络第HYOC04041101号病毒紧急公告(率先截获新病毒)

发布日期：2004-04-11
更新日期：2004-04-11
受影响系统：
该恶意程序通过国内即时通信软件OICQ进行传播
请稍后参考瑞星法反病毒公司的安全公告
本站已经和瑞星公司取得联系
描述：
--------------------------------------------------------------------------------
当病毒感染系统之后就会在系统中驻留，并且立刻在%SystemRoot%\system下生成一个taskmgr.exe病毒实体。
此时病毒已经被执行，在内存进程中以taskmgr.exe为进程名。当使用Ctrl+Alt+Del查看进程的时候可以发现有两个taskmgr.exe进程名。
此外此程序还使用了文件关联技术，当感染后通过对注册表进行修改以便下次启动加载。
感染后的系统一旦启动OICQ，当用户双击对方的头象时，会发现窗口一闪而过，瞬间发出如下信息：

你好啊，*****
今天我在网上下了本电子书，书名叫《缘》，
写得不错，而且书的作者的名字很巧，
跟你的QQ网名一样，也叫“*****”。
不会就是你写的吧？挺有才的嘛，呵呵！
写得不错，下载看看吧！
点击下面这个地址可以下载这本书：
http://www.book.cn.gg/

其中病毒会将星号部分自动修改成对方的用户名。然后当你访问地址http://www.book.cn.gg/的时候可以提示下载一个可执行的程序，双击中执行便被感染。
另外经过证实该程序文件关联TXT文件，但是搜索程序通过名字无法从系统中找出该程序，我也不明白。
目前没有现象表明该恶意程序盗取密码，大使对网速有比较明显的影响。
该程序不主动杀除杀毒软件实时监控和防火墙的进程。
我没有更深入的进行研究，比如是否加壳等……
恶意地址http://www.book.cn.gg/
通过跳转连接插入一个Flash文件http://www.efile.com.cn/efile/book7/book.swf，指向同目录下的另外一个book.exe文件，这个就是病毒体。
下载回来双击执行
并不是打开电子书，而是跳到http://www.fly.ook.cn/此页面，此时显示“该网页数据资料已被删除!”
现在再查看进程就可以发现你被感染了！
建议：
--------------------------------------------------------------------------------
厂商补丁：
等晚些时间瑞星公司会推出新版本的杀毒软件就可以查杀了。
手工查杀建议使用关闭QQ断开网络，然后清空本地所有的临时文件，仔细检查注册表的启动项目和TXT文件关联相关项目。
最新发现：
注意病毒还在
C:\WINDOWS\system下生成NOTEPED.EXE病毒体，做为TXT文件关联指向。
C:\Documents and Settings\Administrator\Local Settings\Temp生成dddupdate.exe。
双击执行dddupdate.exe将IE首页修改成http://www.51115.com/
病毒的文件关联在
HKEY_CLASSES_ROOT\txtfile\shell\open\command将右边窗口中的NOTEPAD.EXE %1修改成了NOTEPED.EXE %1
System32下可以找到NOTEPED.EXE病毒体
正确的记事本程序名字是NOTEPAD.EXE
考虑到大公司的响应流程，暗域网络提前发布查杀办法！
该病毒的彻底清除方法如下：
（由暗域网络率先发布）
首先断开网络！
现在按照如下几步进行修复：
1、关闭系统中所有不需要的进程，包括你那最新版的杀毒软件和防火墙，在进程管理中杀掉两个taskmgr进程中CPU占用率低的那个。
2、到C:\Documents and Settings\Administrator\Local Settings\Temp将此文件夹dddupdate.exe文件删除
3、到C:\WINDOWS\system下删除taskmgr.exe和NOTEPED.EXE
4、到C:\WINDOWS\system32下删除NOTEPED.EXE（没有就算了）
5、到C:\WINDOWS下删除NOTEPED.EXE
6、你可以注意到NOTEPED.EXE的图标是两个文档纸，此病毒除dddupdate.exe外所有的图标都是一样的
7、现在启动注册表编辑器HKEY_CLASSES_ROOT\txtfile\shell\open\command将右边窗口中的NOTEPED.EXE %1修改回来NOTEPAD.EXE %1
8、进入注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run把右边窗口中加载的C:\WINDOWS\system\taskmgr.exe键删除
9、最后把系统中所有的临时文件和IE缓存清空，如果你执行过dddupdate.exe请把IE首页从http://www.51115.com/ 修改成自己想要的
10、到结稿为止杀毒软件公司还没做出反映，不要再访问http://www.book.cn.gg/ 。

倒了，以后还是要小心呀！
哎

谢谢提醒

呵，动作还真快，分析也很详细，，，，顶了~

够猛
顶

就是它了!!!!
那天我上线刚想给好友发消息,我还没反应过来它已经发出去了,,好惨!!!接着QQ好友很多人都中了,,在此向QQ里的所有Q友道歉!!!

晕死，我在9号就搞定它了..............

这么强悍啊，这么快就搞的这么清楚

哦`？去看看`