病毒名称(中文):
QQ密码特搜
病毒别名:
Trojan.PSW.QQpass.6197.a[AVP],Trojan/QQPass.Winpa
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
123392
影响系统:
Win9xWinNT
病毒行为:
这是一个盗取QQ密码的木马病毒。该病毒采用文本文件的图标,非常具有诱惑性,用户可能会误以为是一个文本文件而去运行它,结果导致机器中毒。该病毒将自己的多个副本拷贝到系统目录,修改scr、chm、reg的文件关联,关闭一些常见的反病毒软件,再将盗取的QQ密码存放在一个记录文件中,最后发送到黑客指定的邮箱。该病毒会导致用户的QQ号被盗、系统的安全性严重下降。
1)拷贝病毒文件到:
%SystemRoot%\EUDCEDIT.EXE
%SystemRoot%\FREECELL.EXE
%SystemRoot%\KAEDIT.EXE
%SystemRoot%\MSSCR.EXE
%System%\MSTRAY.EXE
2)在注册表中添加启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SystemKAV"="%System%\MSTRAY.EXE"
3)修改scr、chm、reg的文件关联:
HKEY_CLASSES_ROOT\chm.file\shell\open\command"@"="%SystemRoot%\MSSCR.EXE%1"
HKEY_CLASSES_ROOT\regfile\shell\open\command"@"="%SystemRoot%\KAEDIT.EXE%1"
HKEY_CLASSES_ROOT\scrfile\shell\open\command"@"="%SystemRoot%\MSSCR.EXE%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command"@"="%SystemRoot%\MSSCR.EXE%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command"@"="%SystemRoot%\KAEDIT.EXE%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command"@"="%SystemRoot%\MSSCR.EXE%1"
