病毒别名: 处理时间:2005-12-20 威胁级别:★
中文名称:QQ圣诞虫 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个通过QQ传播的蠕虫病毒。该病毒会拷贝自身到windows及系统目录,并添加启动项,使能随开机启动,该病毒会修改txt文件关联,使能随打开文本文件启动。该病毒会修改浏览器主页,会通过三种方式查杀反病毒软件;该病毒会结束阿拉QQ大盗进程,该病毒会会下载并安装破解还原精灵,使网吧,机房受到损失。该病毒通过监测QQ发送窗口,发送消息给好友,达到传播目的。该病毒会不停写注册表添加启动项,使得用户无法手工删除注册表启动项。
1,生成文件
%Windows%NIW.exe
%System%impai.exe
2,添加启动项
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
"NIW"="%Windows%NIW.exe"
HKEY_CLASSES_ROOTxtfileshellopencommand
"default" = "%System%impai.exe "%1""
3,关闭含有下列字符串的窗口
QQKav
防火墙
网镖
木马
雅虎助手
卡卡安全助手
QQAV
TKillqqvir
qqav
4,删除下列注册表项
SoftwareMicrosoftWindowsCurrentVersionRun
"KAVPersonal50"
"KvMonXP"
"YLive.exe"
"yassistse"
5,创建下列Mutex阻止反病毒软件的运行
KingsoftAntivirusScanProgram7Mutex
ASSISTSHELLMUTEX
SKYNET_PERSONAL_FIREWALL
AntiTrojan3721
6,修改注册表
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
"Start Page" = "http://530540.com"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
"HomePage" = "1"
7,结束下列病毒进程
NTdhcp.exe
SVCHOXT.EXE
8,下载并安装破解还原精灵,给网吧和机房造成损害。
从http://g***u.o**p.net/mi/sm.exe
下载文件到%System%mdown.exe或%System%mdown1.exe
9,监视QQ消息窗口,自动向QQ好友发送下列消息,诱惑好友下载病毒
http://Me***Chr***ma.3***2.com 挂满 和 的 圣诞树 ~!
http://h***y.3**32.com
放你Q里吧....
