病毒别名:
处理时间:2003-11-19
威胁级别:★
中文名称:
病毒类型:木马
影响系统:Win9x/NT/2K/XP/2003
病毒行为:
QQ病毒
编写工具:
Delphi编写,Aspack压缩
传染条件:
A.通过QQ发网站链接,在点击链接后利用未打补丁的IE的IFrame漏洞自动下载运行病毒;
发作条件:
利用QQ聊天时
系统修改:
A.安装自身到%Temp%中,文件名为"main.exe";
B.复制多份病毒体到%System%中,文件名为"SYSTARY.EXE","sysnot.exe","updater.exe";
C.释放另一个传奇木马到%System%中,名为"INTRENAT.EXE","mm.exe","WinSocks.dll",还有一份复制到%SystemRoot%中,名为:"intrenat.exe";
D.在注册表的主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
中添加如下键值:
"Intrenat"="%SystemRoot%intrenat.exe"
E.在注册表的主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunSerives
中添加如下键值:
"Intrenat"="%SystemRoot%intrenat.exe"
"windows update"="%System%updater.exe"
F.在"System.ini"的[boot]节中设置:
shell=Explorer.exe %System%systary.exe
G.修改.txt文件的关联
在注册表的主键:
HKEY_CLASS_ROOT xtfileshellopencommand
修改如下键值:
默认="%System%SYSNOT.EXE "%1""
发作现象:
A.在进行QQ聊天时会在消息中加入信息"http://nicex.9126.com 快来,我刚注册的同学录!"等信息;
B.释放出来的传奇木马会关闭某些防毒软件和网镖等防火墙.
特别说明:
A.释放出来的木马会试图偷传奇等游戏的密码,发送到指定的信箱中;