病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
422263
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗号木马,运行该病毒会释放并执行其他三个独立的盗号病毒,
它们会盗取QQ、游戏等帐号密码,并通过指定的方式发送给盗号者,
建议电脑用户升级杀毒软件和打开防火墙,避免中毒造成损失。
1、生成的文件
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\zhaoqq.exe
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\zhaoms.exe
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\QQLive.exe
%SystemRoot%\system32\noruns.reg
%SystemRoot%\system32\SVOHOST.exe
%SystemRoot%\system32\mswdm.exe
%SystemRoot%\WinServer.exe
%SystemRoot%\system32\systemlr.dll
%ProgramFiles%\explorer.exe
%SystemRoot%\system32\winscok.dll
2、添加注册表启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"CheckFaultKernel"="%SystemRoot%\system32\mswdm.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"explorer.exe"="%ProgramFiles%\explorer.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SoundMam"="%SystemRoot%\system32\SVOHOST.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WinServer"="%SystemRoot%\WinServer.exe"
3、该病毒安装了多种类型的消息钩子
WH_KEYBOARD、WH_MOUSE,其申请路径为%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\QQLive.exe
WH_KEYBOARD、WH_CALLWNDPROC,其申请路径为%SystemRoot%\system32\SVOHOST.exe
WH_JOURNALRECORD,其申请路径为%SystemRoot%\WinServer.exe
4、该病毒设置系统不显示隐藏文件
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"="0"