Trojan/QQMsg.WhBoy.ap
病毒长度:59,665 bytes
病毒类型:木马
影响平台:Win9X/2000/XP/NT/Me/2003
Trojan/QQMsg.WhBoy.ap通过QQ发送短消息的形式,发送指向病毒的URL链接进行传播,还发送传奇游戏者的密码和装备信息到域名为tom.com的邮箱。
病毒传播过程和特征如下:
1.首先检查Windows名称,如果不是"Xleo"则自行生成("Xleo"用来测定一些程序是否正在运行)。
2.试图用记事本程序运行 Telnets.exe
3.在系统目录下生成隐藏文件:Telnets.exe,Sychost.exe ,Ftps.exe
4.修改注册表:
HKEY_CLASSES_ROOTxtfileshellopencommand下添加"(default)" = "%System%elnets.exe %1"键值
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下添加"windows update" = "%System%sychost.exe"键值
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon下添加"Shell" = "Explorer.exe %System%ftps.exe"键值
5.在System.ini文件里添加shell=Explorer.exe %System%ftps.exe