病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
34852
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个通过QQ传播的捆绑木马的蠕虫病毒。该病毒运行后,会在系统目录下生成多个副本,同时在windows目录下生成多个具有诱惑性病毒名的副本,用来传送给QQ好友。该病毒会关闭多种防火墙及反病毒程序,会删除一些反病毒程序的启动项,通过这些手段来保护自己。该病毒会检测QQ聊天窗口,发现则发送病毒文件给QQ好友,达到传播的目的。该病毒会释放一个木马Win32.Troj.QQTiger,该木马盗取QQ号和密码并发送到指定邮箱。该蠕虫还会从网上下载新的木马,使用户深受折磨。
1,生成文件
%system%\WNILOGON.exe
%system%\impai.exe
%system%\winsook.dll
%windows%\广州某航空公司MM军训照片.pif
%windows%\广州某航空公司MM军训照片.pif
%windows%\美女激情大暴光.pif
%windows%\让美女失色的泰国人妖II.pif
%windows%\最新刷Q币动画教程.pif
%windows%\最新刷装备教程,网络游戏通用.pif
2,添加注册表
HKEY_CLASSES_ROOT\txtfile\shell\open\command
"default"="%system%impai.exe"%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SonudMan"="%system%\WNILOGON.exe"
3,删除一些安全软件的启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"KAVPersonal50"
"KvMonXP"
"YLive.exe"
"yassistse"
4,关闭含有以下字符串或窗口类名的窗口进程
QQKav
防火墙
网镖
木马
QQAV
TKillqqvir
qqav
TApplication
5,删除QQ2005的密码保护驱动程序
npktmhk.sys
npkcrypt.sys
6,传播方式
检测QQ聊天窗口,有则将windows目录下的病毒副本传送给好友,文件名有
广州某航空公司MM军训照片.pif
广州某航空公司MM军训照片.pif
美女激情大暴光.pif
让美女失色的泰国人妖II.pif
最新刷Q币动画教程.pif
最新刷装备教程,网络游戏通用.pif
7,主要危害
该病毒启动木马程序%system%\winsook.dll,盗取用户QQ号码及密码
该病毒还会下载并运行其它病毒。
8,其它
该病毒会删除用户运行的副本,达到隐身的目的。