病毒别名: 处理时间:2006-12-06 威胁级别:★
中文名称: 病毒类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是个盗取用户QQ帐号的木马,并能通过移动介质传播。
1、将自身复制到 %WINDOWS%CTFMON.exe 并执行,释放文件 %WINDOWS%vmmreg.dll,并将这两个文件设置为系统和隐藏属性。
2、检测软驱,如果存在,则将自身复制为:A:重要文件.exe
3、将自身复制为除C盘的其它盘根目录下的文件:ravmon.exe,并创建文件autorun.inf,使用户双击打开该盘时就运行病毒,文件内容如下:
[AutoRun]
Open=ravmon.exe
4、修改以下注册表项:
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsSyncMode5 0x3
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutoRun 0x95
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerCDRAutoRun 0x0
5、添加启动项:HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunctfmon "C:WINDOWSctfmon.exe"
6、从网址:http://www.jg***.net/myd/mm.exe 下载文件到:C:Program FilesCommon FilesSystemadomh.exe,并执行。
7、当检测到QQ运行时删除QQ键盘保护文件 npkcrypt.sys 。