病毒名称(中文):
QQ尾巴
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
486389
影响系统:
Win9xWinNT
病毒行为:
这是一个通过QQ传播的木马病毒。该病毒会将自己释放到系统目录下并替换所有的屏幕保护程序,将屏幕保护设置为病毒文件,将屏幕保护启动前的等待时间改为1分钟。该病毒会关闭安全软件和网络共享,当用户在跟QQ好友聊天的时候,病毒会自动向好友发送带有病毒的链接欺骗好友去点击,从而也感染该病毒。
1)病毒将自己拷贝到:
%SystemRoot%\IsUn0404.exe
%SystemRoot%\IsUn0804.exe
%System%\csrss.exe
2)用病毒文件替换下列的文件:
%SystemRoot%目录下的
IsUninst.exe
%System32%目录下的
logon.scr
scrnsave.scr
ss3dfo.scr
ssbezier.scr
ssflwbox.scr
ssmarque.scr
ssmaze.scr
ssmyst.scr
sspipes.scr
ssstars.scr
sstext3d.scr
频道屏幕保护程序.scr
3)通过一个批处理来关闭防火墙和网络共享:
%System32%\AUTOEXEC.BAT
该文件的内容:
netstop"InternetConnectionFirewall(ICF)/InternetConnectionSharing(ICS)">>%System32%\BOOTEX.LOG
4)添加启动项和更改屏幕保护程序(屏幕保护程序已经被病毒替换)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"internet"="%System%\csrss.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
将"Shell"的键值从"Explorer.exe"改为"Explorer.exe%System%\csrss.exe"
HKEY_CURRENT_USER\ControlPanel\Desktop
"SCRNSAVE.EXE"="%System32%\sstext3d.scr"
HKEY_USERS\S-1-5-21-823518204-1993962763-1343024091-500\ControlPanel\Desktop
"SCRNSAVE.EXE"="%System32%\sstext3d.scr"
5)修改TXT的文件关联到病毒文件,使得每次打开TXT文件时,该病毒都会运行一次:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
将"@"的键值改为""%System%\csrss.exe""%1""
将屏幕保护启动前的等待时间改为1分钟:
HKEY_CURRENT_USER\ControlPanel\Desktop
HKEY_USERS\S-1-5-21-823518204-1993962763-1343024091-500\ControlPanel\Desktop
将"ScreenSaveTimeOut"的键值改为"60"
6)强行结束窗口标题中带有以下字眼的进程,以关闭安全软件:
木马
杀毒
邮件
网镖
防火墙
实时监
病毒监
病毒控
firewall
firewall
antiviru
7)通过下面的一些字眼判定当前窗口是不是QQ的聊天窗口,假如是就自动发送带病毒链接的消息给QQ好友:
聊天
聊天中
送消息
-发送消息