病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
279805
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个通过QQ传播的蠕虫病毒。该病毒会拷贝自身到系统目录,并添加启动项,使能随开机启动。会通过三种方式查杀反病毒软件;该病毒会结束阿拉QQ大盗进程,并删除其启动项;该病毒会释放一个黑客病毒,进行键盘记录并打开后门,供黑客连接控制;该病毒通过监测QQ发送窗口,发送消息给好友,达到传播目的。该病毒会不停写注册表添加启动项,使得用户无法手工删除注册表启动项。
1,生成文件
%System%WNILOGON.exe
%System%\tmhk.dll
%windows%\%乱码%.pif
%windows%\.pif
%system%\winsook.dll
2,添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SonudMan"="%System%WNILOGON.exe"
3,关闭含有下列字符串的窗口
QQKav
防火墙
网镖
木马
雅虎助手
卡卡安全助手
QQAV
TKillqqvir
qqav
4,删除下列注册表项
Software\Microsoft\Windows\CurrentVersion\Run
"KAVPersonal50"
"KvMonXP"
"YLive.exe"
"yassistse"
5,创建下列Mutex阻止反病毒软件的运行
KingsoftAntivirusScanProgram7Mutex
ASSISTSHELLMUTEX
SKYNET_PERSONAL_FIREWALL
AntiTrojan3721
6,结束下列病毒进程
NTdhcp.exe
SVCHOXT.EXE
7,删除下列病毒的启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"NTdhcp"
"Winhoxt"
8,释放的winsook.dll是一个木马程序,进行键盘记录,及使用socket技术提供服务供黑客远程控制
9,传播方式
向QQ好友发送病毒文件%乱码%.pif或.pif