病毒名称(中文):
传奇QQ尾巴
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
220492
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
QQ尾巴系列
编写工具:
传染条件:用户点击感染机器用户传来的QQ信息后面的链接地址,指向病毒网页,然后利用IE漏洞,感染机器
发作条件:
系统修改:
A、将将捆绑的文件释放到系统安装目录下:
%SystemRoot%Expl0rer.exe
%SYSTEM%"QTAPPS.DLL
Expl0rer.exe为传奇木马,QTAPPS.DLL为QQ尾巴,并设置为隐藏.
B、
1、在注册表主键:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下键值:
"BIE"="%SystemRoot%Expl0rer.exe"
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunServices
下添加如下键值:
"BIE"="%SystemRoot%Expl0rer.exe"
用于启动木马程序。
2、在注册表主键:
HKLMSOFTWAREClassesCLSID{0C445B80-F780-11D7-88D5-0050BA40F862}InprocServer32
下添加如下键值:
"默认"="%System%QTAPPS.DLL"
"ThreadingModel"="Apartment"
用于注入QQ尾巴
发作现象:
1、聊天时每句话会多一个网页,这个网页含有木马
2、木马下载一个四百字节的EXE程序,用这个小程序下载从网上下载另外真正的木马程序
3、运行这个木马,释放两个文件QTAPPS.DLL用于感染QQ
4、木马会查找以下杀毒软件,假如存在则关掉这些杀毒软件的进程:
瑞星
天网防火墙个人版
天网防火墙企业版
木马克星
噬菌体
5、Expl0rer.exe为传奇木马通过脚本传送邮件,邮件格式如下
MAILFROM:gaoyong@263.com
From:"高EXPLORER"
Subject:最近好吗
传奇登录
---------
区域:
用户名:
密码:
服务器:
角色:
物品信息
-----------------
附加信息
--------------------
IP地址:
计算机名:
发送时间:
非凡说明:
