病毒名称:
Trojan.QQMsg.WhBoy.m.enc
类别: 木马
病毒资料:
破坏方法:
这是通过QQ发送诱惑信息导致用户上当的病毒。
一旦执行,病毒将执行如下操作:
1.复制自己到下列目录:
%WINDIR%\INTRENAT.EXE
这是盗取游戏:“传奇”登录信息的木马
%WINDIR%\WINSOCKS.DLL
这个文件与上一个文件是同一个文件
%SYSDIR%\SYSLGOG.EXE 这是病毒自身
%SYSDIR%\SYSNAT.EXE 这是病毒自身
%SYSDIR%\UUDATEE.EXE 这是病毒自身
2.注册自己为服务进程。
3.添加如下值:
"windows update"=%SYSDIR%\UUDATEE.EXE
到注册表键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Currentversion\RunServices
下,这样病毒就可以随系统自启动修改文本文件关联,使之指向病毒,这样打开任何文本时就会运行病毒,其相应的注册表
键值为:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(默认) : %SYSTEM%\SYSLGOG.EXE %1
修改系统文件system.ini,这是病毒自启动的伎俩
SYSTEM.INI
[BOOT]
SHELL = EXPlorer.exe %SYSTEM%\SYSNAT.EXE
4.通过QQ发送诱惑性信息给在线好友,信息一般为:
“...某某网站不错...”、“...我的照片...”之类
信息混杂在用户发送的信息中,极易造成用户误解,从而导致用户访问此类网站;
而此网站又利用IE漏洞,配置木马在网页中,当用户访问时会自动下载执行木马
5.建议
如果用户收到类似信息,最好不要连接那个站点或者将IE打上最新补丁才去访问。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-2-17