病毒名称(中文):
QQ圣诞虫
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
17395
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个通过QQ传播的蠕虫病毒。该病毒会拷贝自身到windows及系统目录,并添加启动项,使能随开机启动,该病毒会修改txt文件关联,使能随打开文本文件启动。该病毒会修改浏览器主页,会通过三种方式查杀反病毒软件;该病毒会结束阿拉QQ大盗进程,该病毒会会下载并安装破解还原精灵,使网吧,机房受到损失。该病毒通过监测QQ发送窗口,发送消息给好友,达到传播目的。该病毒会不停写注册表添加启动项,使得用户无法手工删除注册表启动项。
1,生成文件
%Windows%\NIW.exe
%System%\impai.exe
2,添加启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"NIW"="%Windows%\NIW.exe"
HKEY_CLASSES_ROOT\txtfile\shell\open\command
"default"="%System%\impai.exe"%1""
3,关闭含有下列字符串的窗口
QQKav
防火墙
网镖
木马
雅虎助手
卡卡安全助手
QQAV
TKillqqvir
qqav
4,删除下列注册表项
Software\Microsoft\Windows\CurrentVersion\Run
"KAVPersonal50"
"KvMonXP"
"YLive.exe"
"yassistse"
5,创建下列Mutex阻止反病毒软件的运行
KingsoftAntivirusScanProgram7Mutex
ASSISTSHELLMUTEX
SKYNET_PERSONAL_FIREWALL
AntiTrojan3721
6,修改注册表
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main
"StartPage"="http://530540.com"
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel
"HomePage"="1"
7,结束下列病毒进程
NTdhcp.exe
SVCHOXT.EXE
8,下载并安装破解还原精灵,给网吧和机房造成损害。
从http://g***u.o**p.net/mi/sm.exe
下载文件到%System%\tmdown.exe或%System%\tmdown1.exe
9,监视QQ消息窗口,自动向QQ好友发送下列消息,诱惑好友下载病毒
http://Me***Chr***ma.3***2.com挂满和的圣诞树~!
http://h***y.3**32.com
放你Q里吧....
