病毒名称:
Win32.Troj.PswQ.fl
类别: 木马
病毒资料:
这是一个盗取用户QQ号码与密码的病毒,并且还能盗取传奇游戏的帐号密码,
它还能中止大量安全软件的进程.
1:拷贝文件
病毒被运行后,会把自己拷贝到下面的地方
C:\Windows\winsdm.exe
2:更改注册表
病毒会在注册表的启动项中添加一项,使自己能自启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMana - C:\windows\winsdm.exe
3:中止进程
病毒会中止以下程序的进程:
kvfw.exe
sniffer.exe
sns.exe
cutesniffer.exe
iris.exe
smbfilesniffer.exe
shsniffer.exe
ehsniffer.exe
sniffem.exe
NetPryer.exe
cports.exe
NetworkView.exe
Ethreal.exe
Netcheck.exe
PortEXPlorer.exe
NetConnectManager.exe
wit.exe
mtna.exe
vsniffer.exe
eye.exe
gcenter.exe
NetSnifferV3.exe
ent.exe
vsniffer.exe
PacScope.exe
CaptureNet.exe
PeepNet.exe
NetAnalyzer.exe
ActiveNetworkMonitor.exe
SockMon5.exe
SeePort.exe
pfw.exe
cmd.exe
tpfw.exe
rfwsrv.exe
cain.exe
cv.exe
tcpview.exe
iceWord.exe
wpe pro.exe
WSockExpert.exe
XGuard.exe
fwmain.exe
fwcom.exe
4:记录QQ帐号密码
病毒会把QQ的键盘保护的文件npkcrypt.sys改名为npkcrypt.bak,使QQ的键盘保护失效,
然后把QQ的进程中止掉,使用户误以为QQ出错了,就重新登录.因为QQ已经缺少了键盘保护,
所以病毒可以很轻易的读取用户输入的QQ号与密码,并把它发送到木马种植者的邮箱上去,
使用户的QQ帐号与密码丢失.并且病毒还会盗取传奇的帐号,并把得到的帐号一同发送到
木马种植者的邮箱中.
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2006-7-31