病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
52012
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗取QQ号码及密码的木马。该病毒运行后,会拷贝自身到系统目录,命名为svhost.exe,并添加启动项,使能随开机启动。该病毒通过批处理删除自身,达到隐形的目的。该病毒会结束大量安全软件进程,使用户的系统安全等级降低。该病毒会结束QQ进程,删除QQ2005的密码保护驱动文件。假如用户再次登陆,则通过键盘记录,盗取用户的QQ号码及密码,并通过邮箱及网页发送出去。
1,生成文件
%system%\svhost.exe
2,添加注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Winhoxt"="%system%\svhost.exe"
3,卸载下列软件
密码防盗专家综合版
4,删除下列文件
%QQ%\npkcrypt.sys
%QQ%\npkmask.sys
5,关闭标题为下列字符串的窗口
SymantecAntiVirus企业版
江民杀毒软件KV2004:实时监视
ZoneAlarm
RavMon.exe
天网防火墙个人版
天网防火墙企业版
天网防火墙企业版
木马克星
6,结束下列进程
PasswordGuard.exe
KVXP.KXP
KVMonXP.KXP
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
Sphinx.exe
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
kvsrvxp.exe
trojdie.kxp
kvmonxp.kxp
kregex.exe
ravmon.exe
ravstub.exe
ccenter.exe
ravtimer.exe
rfwmain.exe
rfwsrv.exe
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
IFACE.EXE
ANTS.EXE
Anti-Trojan.exe
iamapp.exe
iamserv.exe
FRW.EXE
blackice.exe
blackd.exe
zonealarm.exe
vsmon.exe
WrCtrl.exe
WrAdmin.exe
cleaner3.exe
cleaner.exe
tca.exe
MooLive.exe
lockdown2000.exe
7,盗取方式
该病毒结束QQ进程,删除保护文件npkmask.sys和npkcrypt.sys,假如用户登录QQ,通过键盘记录记录QQ号及密码,并通过电子邮件发送到指定邮箱,或直接发送到指定网址。