病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
29177
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一种盗取QQ号码的木马病毒。主要是将xiaran.vxd嵌入explorer随机启动盗取QQ号码,同时它会监视系统,假如没有ListBox为类名的窗口,假如没有则新建一个,并连接到指定服务器进行聊天,它还会自动下载并运行另一个病毒程序。病毒主要功能都是有xiaran.vxd实行。
1、生成文件
%ProgramFiles%\InternetExplorer\ConnectionWizard\xiaran.dll
%ProgramFiles%\InternetExplorer\ConnectionWizard\xiaran.vxd
%ProgramFiles%\InternetExplorer\ConnectionWizard\xiaran.tmp
2、修改注册表
HKLM\SOFTWARE\Classes\CLSID\{02315C1A-9BA9-4B7C-A432-29995F78DF28\InProcServer32
"(Default)"="%ProgramFiles%\InternetExplorer\ConnectionWizard\xiaran.vxd"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{02315C1A-9BA9-4B7C-A432-29995F78DF28}
3、生成的批处理文件
_xr.bat
------------------------------------------------
:try
del"%原病毒路径%"
ifexist"%原病毒路径%"gototry
del%0
-------------------------------------------------
4、从下列网址下载病毒:
http://chajia**.com/hm.txt
61.1**.51.31/ad.exe
5、删除QQ保护文件
npkcrypt.sys
6、该病毒将盗取的QQ号码及密码上传到指定网页。
