以文本方式查看主题 -  调频热点  (http://www.fmhot.com/bbs/index.asp) --  『 ≡ 灌水聊天 ≡ 』  (http://www.fmhot.com/bbs/list.asp?boardid=3) ----  警惕新型MP3蠕虫  (http://www.fmhot.com/bbs/dispbbs.asp?boardid=3&id=111053)

--  作者：秋水长天 --  发布时间：2008/8/3 18:05:36 --  警惕新型MP3蠕虫 截获一款能够感染MP3的新型蠕虫。该蠕虫会自动将MP3转换为 windows media 音频格式，并保持后缀不变（仍为.mp3）这时候播放该文件的时候会弹出一个网页诱骗用户下载所谓的解码器，如果用户同意安装则该木马会自动安装在用户本地计算机并随时接受黑客的非法控制。用windows media player播放的时候会提示播放的扩展名和文件格式不相符合。如果这时候点击否则不会弹出网页。需要注意的地方：1 如果播放mp3时候出现播放的扩展名和文件格式不相符合，建议点击否终止播放。2 该感染文件最可能通过 P2P、网页听歌、MP3下载、聊天工具传播（类似QQ尾巴、msn蠕虫）。3 建议用windows media player播放MP3（关键在于有提示）。4 建议保持杀毒软件和防火墙的开启并随时升级。5 播放过程中弹出网页建议立即关闭，并拒绝下载任何所谓的解码器。从下载的解码器（木马）来看：木马运行后释放的木马文件名为win***32.dll，（***为随机生成）生成如下启动项（见图）并插入winlogon.exe系统核心进程。间歇性与多个IP进行通讯接受黑客控制同时躲避各种网络监测工具。   木马的清除：用sreng删除启动项，并用XDelBox删除产生的木马。感染文件（mp3)的清除：绝大部分知名杀软能够发现被感染的文件，目前不完全统计金山毒霸能够修复被感染的MP3。变种情况：截止目前已经出现多个变种，部分变种杀毒软件无法查杀。