Worm.Win32.Skipi.c/b

今年针对即时通讯工具（Instant Messenger）的攻击数量有所上升，在各种Bot通过MSN传播的同时，针对其他即时通讯工具的病毒也现身互联网。

上周，我们收到来自一些网友的报告，称在另一款著名即时通讯工具Skype上收到了可疑链接和话语。经过分析后，发现这是一个新的通过Skype软件传播的蠕虫，Kaspersky检测为Worm.Win32.Skipi。蠕虫也会根据不同语言的系统来发送相应的话语，同时含带一个带有蠕虫本身的链接：

/<removed>/dsc<removed>.jpg">http://www.myimagespace.net/&lt;removed&gt;/&lt;removed&gt;/dsc&lt;removed&gt;.jpg

当用户点击这个链接后，会下载一个.scr的文件，大小为188,416字节。目前我们收到两个版本的变种，Kaspersky分别检测为Worm.Win32.Skipi.b、Worm.Win32.Skipi.c。

同时，我们也再次提醒广大使用即时通讯工具的朋友们，一定要提高警惕。别让病毒有可趁之机。

字串6

解决方案： 字串3

病毒名称：Worm.Win32.Skipi.c（Kaspersky）

病毒别名：W32/Pykse.worm.b（McAfee）

Worm.IM.Win32.SkyPe.a（瑞星）

Worm.Skipi.c.188416（毒霸）

病毒大小：188,416 字节

加壳方式：

样本MD5：f86f7c9642474bd93fb22185ec27ffee

样本SHA1：79ad4bd13abbe0fe6fe818680de5ce417d66078e

发现时间：2007.9

更新时间：2007.9

字串6

关联病毒：

传播方式：通过Skype传播 字串3

技术分析

========== 字串4

病毒通过在Skype上给好友发送诱惑文字和链接进行传播，链接中指向的是jpg文件，实际上下载的却是一个扩展名是scr图标伪装成JPG图标的可执行文件。 字串1

病毒运行后在系统目录创建多个副本：

%System%odcwinst.exe

%System%servftc.exe

%System%stwinsdat.exe

%System%windb32.exe 字串4

并打开系统目录下的Soap Bubbles.bmp图片用以迷惑用户。

字串5

创建启动信息：

字串2

[Copy to clipboard] [ - ]CODE:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

NTCurrentVersionWinlogon]

"Windows Sysdat"="explorer.exe odcwinst.exe"

"Logon Settings2"="odcwinst.exe"

字串7

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce]

"Services Start2"="odcwinst.exe"

设置注册表信息：

字串8

[Copy to clipboard] [ - ]CODE:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]

"Policies Options2"=""

字串9

[HKEY_LOCAL_MACHINESOFTWARERMXcfg]

"j"="j" 字串4

[HKEY_CURRENT_USERSoftwareRMXcfg]

"j"="j"

删除注册表信息：

字串1

[Copy to clipboard] [ - ]CODE:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"System Driver2" 字串5

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]

"Start Service2"

通过Skype发送诱惑文字和病毒下载链接：

字串1

QUOTE:

pala biski

as net nezinau ka tavo vietoj daryciau. :S

matai :D

;) geras ane ? patinka ?

kas cia tavim taip isderge ? =]]

cia tu isimetei?

cia biski su photoshopu pazaidziau bet bet irgi gerai atrodai :D

zek kur tavo foto metos isdergta

(mm) kaip as taves noriu

ziurek kur tavo foto imeciau :D esi? 字串9

labas this (happy) sexy one

what ur friend name wich is in photo ?

u happy ?

oh sry not for u

oops sorry please don't look there :S

you checked ? :D

(rofl) (devil) :) really funny

now u populr

haha lol

I used photoshop and edited it

look what crazy photo Tiffany sent to me,looks cool where I put ur 字串6

photo :D

your photos looks realy nice

look

hey how are u ? :)

修改hosts文件，屏蔽反病毒软件相关网站。

字串9

清除步骤

========== 字串5

1. 结束病毒进程：

%System%odcwinst.exe

%System%servftc.exe

%System%stwinsdat.exe

%System%windb32.exe 字串6

2. 删除病毒文件：

%System%odcwinst.exe

%System%servftc.exe

%System%stwinsdat.exe

%System%windb32.exe

字串4

3. 删除病毒添加的注册表信息：

字串1

[Copy to clipboard] [ - ]CODE:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

NTCurrentVersionWinlogon]

"Windows Sysdat"="explorer.exe odcwinst.exe"

"Logon Settings2"="odcwinst.exe" 字串5

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce]

"Services Start2"="odcwinst.exe"

字串3

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]

"Policies Options2"=""

字串3

[HKEY_LOCAL_MACHINESOFTWARERMX] 字串8

[HKEY_CURRENT_USERSoftwareRMX]

4. 编辑hosts文件，通常情况下仅保留一行即可： 字串8

[Copy to clipboard] [ - ]CODE:

127.0.0.1 localhost

字串4