订阅病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
蠕蟲病毒
病毒長度:
279805
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
該病毒是一個通過QQ傳播的蠕蟲病毒。該病毒會拷貝自身到系統目錄,並添加啓動項,使能隨開機啓動。會通過三種方式查殺反病毒軟件;該病毒會結束阿拉QQ大盜進程,並刪除其啓動項;該病毒會釋放一個黑客病毒,進行鍵盤記錄並打開後門,供黑客連接控制;該病毒通過監測QQ發送窗口,發送消息給好友,達到傳播目的。該病毒會不停寫注冊表添加啓動項,使得用戶無法手工刪除注冊表啓動項。
1,生成文件
%System%WNILOGON.exe
%System%\tmhk.dll
%windows%\%亂碼%.pif
%windows%\.pif
%system%\winsook.dll
2,添加啓動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SonudMan"="%System%WNILOGON.exe"
3,關閉含有下列字符串的窗口
QQKav
防火牆
網镖
木馬
雅虎助手
卡卡安全助手
QQAV
TKillqqvir
qqav
4,刪除下列注冊表項
Software\Microsoft\Windows\CurrentVersion\Run
"KAVPersonal50"
"KvMonXP"
"YLive.exe"
"yassistse"
5,創建下列Mutex阻止反病毒軟件的運行
KingsoftAntivirusScanProgram7Mutex
ASSISTSHELLMUTEX
SKYNET_PERSONAL_FIREWALL
AntiTrojan3721
6,結束下列病毒進程
NTdhcp.exe
SVCHOXT.EXE
7,刪除下列病毒的啓動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"NTdhcp"
"Winhoxt"
8,釋放的winsook.dll是一個木馬程序,進行鍵盤記錄,及使用socket技術提供服務供黑客遠程控制
9,傳播方式
向QQ好友發送病毒文件%亂碼%.pif或.pif
