病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
18227
影响系统:
Win9xWinNT
病毒行为:
这是一个通过QQ传播的木马病毒。该病毒除了会释放多个病毒(其中有一个包含多个病毒的自解压包,当网络断开的时候会弹出一个错误警告并将这个包里面的多个病毒解压到用户的临时目录下)到系统目录,它还会从网络上下载另外一个病毒自解压包到本地机器上。病毒会关闭安全软件、禁用注册表编辑器和任务治理器;修改TXT的文件关联到病毒文件,使得每次打开TXT文件的时候该病毒都会被运行一次。病毒会检测当前窗口是否为QQ的聊天窗口,假如是就向好友发送带有病毒的链接,欺骗好友去点击,从而也感染该病毒。
1)病毒将自己拷贝到:
%System%\HDDGMom.exe18227字节
%SystemRoot%\Tilss.exe18227字节
2)释放另一个病毒到%HOMEPATH%\LocalSettings\TemporaryInternetFiles\Content.IE5\5PA7KDYN\huanyuan[1].exe(Win32.Troj.LaStaHJJ.c)
2)在%System%目录下建立一个包含多个病毒的自解压包sm2.exe(360448字节),当网络断开的时候会弹出如下的错误警告并将多个病毒解压到用户的临时目录下:
其中包括下列病毒:
444.reg(Win32.Reg.Winpass)
chk.exe(Win32.Troj.LaSta.41984)
chk20.exe(Win32.Troj.LaSta.20480)
huanyuan.exe(Win32.Troj.LaStaHJJ.c.28672)
3)从网络上下载另外一个包含多个病毒的自解压包huanyuan.exe(1317888字节)到本地机器上,其中包括下列病毒:
001.exe(Win32.Troj.Hhuangjiaju.a.20492)
444.reg(Win32.Reg.Winpass)
chk.exe(Win32.Troj.LaSta.41984)
chk20.exe(Win32.Troj.LaSta.20480)
huanyuan.exe(Win32.Troj.LaStaHJJ.c.28672)
pojie.exe(Win32.Troj.LaStaHJJ.c.28672)
winpass.exe(Win32.Troj.LaStaHJJ.c.28672)
4)在注册表中添加启动项,使得该病毒能在开机的时候自启动
HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run
"HDDGMon"="%System%\HDDGMom.exe"
5)修改TXT的文件关联到病毒文件,使得每次打开TXT文件的时候该病毒都会被运行一次
HKEY_CLASSES_ROOT\TxtFile\Shell\Open\Command
"(Default)"="%SystemRoot%\Tilss.exe"
6)强行结束窗口标题中包含下列字眼的进程,以关闭安全软件、禁用注册表编辑器和任务治理器:
注册表
系统配置实用程序
QQKav
密码防盗
天网
绿鹰PC
防火墙
进程
网镖
任务治理器
杀毒
超级兔子
优化大师
木马克星
QQAV
毒霸
黄山IE
腾讯公司QQ
QQ病毒
7)判定当前窗口是否为QQ的聊天窗口,假如是就向好友发送带有病毒的链接,欺骗好友去点击。
