喜欢网上聊天的朋友很多都有QQ密码被盗的不幸遭遇,这盗密码的罪魁祸首不少就是专门窃取QQ密码的木马病毒。好在魔高一尺,道高一丈,金山毒霸等不少反病毒软件就是窃取QQ密码木马病毒的克星。
日前,金山反病毒监测中心宣布新截获一个企图窃取QQ密码的木马病毒――QQ密码记录器。据金山毒霸事业部技术总监陈飞舟介绍:“QQ密码记录器英文名称为Trojan.QQPassRecoder.12288,它是一个用Delphi语言编写的程序,作者自己把QQ密码记录器描述为HackSoft-Oicq-Password-Recoder”。
感染QQ密码记录器木马病毒后,扩展名为exe和com文件在每次运行前,该病毒都将率先运行。同时,用户在使用QQ发送消息的时候,消息中会自动添加“http://xmc.nease.net快去看看,你感兴趣的”这句话,这将导致更多的人通过浏览该页面而中招。由于该木马病毒没有判断重复加载进程的问题,所以系统将反复加载该木马程序,从而大量消耗系统资源。
QQ密码记录器病毒会在系统目录下释放svh0st.exe、scanregw.exe和Internets.exe这三个文件,其文件名特征与系统正常文件名十分相似,用户在查看系统进程时往往会误认为系统正常进程,从而使该病毒可躲开用户的常规检查。
陈飞舟表示,金山毒霸已经可以查杀该病毒,用户只需登陆金山毒霸网站(www.duba.net)升级金山毒霸到最新版本即可。用户也可以使用任务管理器查找以上三个文件的进程,终止其运行后再到系统目录下查找以上三个文件,然后手工删除它。删除病毒程序后,用户还需按以下方法手工恢复注册表相关键值,系统才会完全恢复正常。
手工清除方法:
1、 单击开始-运行,输入regedit,运行注册表编辑器。
2、 还原注册键HKEY_CLASSES_ROOT\comfile\shell\open\command和HKEY_CLASSES_ROOT\exefile\shell\open\command的值为"%1"%*,病毒修改后会在"%1"%*前面加上病毒程序的路径,这项值的修改非常重要,否则会造成系统重启后所有的com文件和exe文件无法运行。
3、 删掉HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Scanreg项目。
