病毒名称:Trojan.PWS.QQPass.gKb6
发现日期:2002-10-14
病毒类型:木马病毒
传播范围:低
危害级别:低
传播速度:低
病毒介绍:
Trojan.PWS.QQPass.gKb6木马病毒能够偷取用户的密码信息。此病毒是运用Visual Basic语言编写的,其长度为123,392字节。此病毒感染安装有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系统的计算机,而不会感染安装有Windows 3.x, Macintosh, Unix, Linux操作系统的计算机。
1.此木马病毒一旦被激活并开始运行,它将终止下列程序的运行:
Kav9x.exe
Smenu.exe
Ravmon.exe(仅限在Windows NT 4.0操作环境中)。
2.此病毒会将文件%windir%Notepad.exe更名为%windir%Mspad.exe。
3.此病毒会将其本身复制到下列文件中:
%windir%Eudcedit.exe
%windir%Freecell.exe
%windir%Kaedit.exe
%windir%Msscr.exe
%windir%Notepad.exe
%system%Mstray.exe。
其中:%windir%和%system%是变化的,此木马病毒会自动寻找机器上的系统目录,并将自身复制到系统目录下,即:
C:WindowsSystem (Windows 95/98/Me)
C:WinntSystem32 (Windows NT/2000)
C:WindowsSystem32 (Windows XP)。
4.此病毒能够生成键值:
SystemKav %system%MSTRAY.EXE
到注册表编辑器:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中,使得机器启动时病毒就会自动运行。
5.此病毒会对注册表编辑器中下列各项默认键值进行更改:
(1)HKEY_LOCAL_MACHINESOFTWARECLASSES
egfileshellopencommand的默认键值改为:
(Default) %windir%KAEDIT.EXE %1。
(2)HKEY_LOCAL_MACHINESOFTWARECLASSESscrfileshellopencommand的默认键值改为:
(Default) %windir%MSSCR.EXE %1。
(3)HKEY_LOCAL_MACHINESOFTWARECLASSESchm.fileshellopencommand的默认键值改为:
(Default) %windir%MSSCR.EXE %1。
6.此病毒开始执行后可以做下列活动:
(1)重新启动计算机
(2)打开注册文件
(3)执行屏幕保护程序
(4)打开系统帮助文件。
解决方案:
1.及时升级杀毒软件,之后认真在整个硬盘上查杀此病毒,彻底清除掉查到的Trojan.PWS.QQPass.gKb6木马病毒。
2.到注册表编辑器:
(1)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中将键值:
SystemKav %system%MSTRAY.EXE清除。
(2)HKEY_LOCAL_MACHINESOFTWARECLASSES
egfileshellopencommand中将默认键值:
(Default) %windir%KAEDIT.EXE %1清除。
(3)HKEY_LOCAL_MACHINESOFTWARECLASSESscrfileshellopencommand中将默认键值:
(Default) %windir%MSSCR.EXE %1清除。
(4)HKEY_LOCAL_MACHINESOFTWARECLASSESchm.fileshellopencommand中将默认键值:
(Default) %windir%MSSCR.EXE %1清除。