病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
54342
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗取QQ密码的木马。该病毒运行后,拷贝自身到系统目录,并添加启动项,达到随开机启动的目的。该病毒会关闭大量防火墙,并卸载密码防盗专家综合版,还会结束大量防毒软件进程;删除QQ2005密码保护的驱动文件;然后结束正在运行的QQ.exe进程,当用户登录QQ时,捕捉登录窗口,记录键盘获得QQ号码及密码,并发送到指定邮箱。
1,生成文件
%system%\svchoxt.exe
2,添加注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Winhoxt"="%system%\svchoxt.exe"
3,卸载安全软件
密码防盗专家综合版
4,结束安全软件
PasswordGuard.exe
KVXP.KXP
KVMonXP.KXP
SymantecAntiVirus企业版
江民杀毒软件KV2004:实时监视
天网防火墙个人版
天网防火墙企业版
噬菌体
木马克星
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
5,结束下列进程
Sphinx.exe
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
kvsrvxp.exe
trojdie.kxp
kvmonxp.kxp
kregex.exe
ravmon.exe
ravstub.exe
ccenter.exe
ravtimer.exe
rfwmain.exe
rfwsrv.exe
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
IFACE.EXE
ANTS.EXE
Anti-Trojan.exe
iamapp.exe
iamserv.exe
FRW.EXE
blackice.exe
blackd.exe
zonealarm.exe
vsmon.exe
WrCtrl.exe
WrAdmin.exe
cleaner3.exe
cleaner.exe
tca.exe
MooLive.exe
lockdown2000.exe
6,删除文件
%tencent%\QQ\npkcrypt.sys
%tencent%\QQ\npkmask.sys
7,盗取方法
先结束正在运行的QQ程序,删除随QQ启动的密码保护驱动npkcrypt.sys和npkmask.sys,在用户登录时,通过捕捉“登录QQ”窗口,通过键盘记录获得QQ号码及密码,然后通过自带的邮件发送引擎发送到指定邮箱。