Win32.Troj.QQRobber.hu - 王朝网络宽屏版

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

56960

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒是一个QQ盗号木马。该病毒会将盗取的QQ号及密码发送到指定的邮箱。

1、生成的文件

%SystemRoot%\system32\SVOHOST.exe

%SystemRoot%\system32\winscok.dll

2、删除的文件

%原病毒文件%

3、注册表修改

*添加启动项

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

"SoundMam"="%SystemRoot%\system32\SVOHOST.exe"

*文件夹设置为总是隐藏文件

HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall

"CheckedValue"="0"

4、删除注册表相关启动项

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RavTask

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KvMonXP

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\YLive.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yassistse

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NTdhcp

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winhoxt

5、关闭下列软件进程

天网防火墙

金山毒霸

上网助手

瑞星2005

卡巴斯基

江民2004

反间谍专家

金山网镖

木马克星

诺顿2005

6、该病毒行后会不停的维护注册表启动项和设置总是隐藏所有隐藏文件的注册表相要害值。

7、该病毒在系统装了WH_GETMESSAGE，WH_CALLWNDPROC两种类型的的钩子。

其申请进程路径都为："%SystemRoot%\system32\SVOHOST.exe"

8、加密信息

lqrs>*)tsr(``642*fin+；http://www.c***1.com/

lqrs>*)tsr(532?43+eli*；http://www.67***7.com/

lqrs>*)tsr(`ps757+eli*；http://www.ct***3.com/

1=(`kh)；5*.com/

14(`kh)；5*.com/

ut(`kh)；q*.com/

535-gjk,；16*.com/

pjk-gjk,；to*.com/

570-gjk,；12*.com/

633-gjk,；25*.com/

ijv-gjk,；m*p.com/

=<?2*fin+；9**1.com/

22>2*fin+；6**1.com/

wjnv*fin+；sohu.com/

5qomc+eli*；1t**g.com/

cjidh`(`j*；go**le.cn/

fdogq+eli*；b**du.com/

wn`j+eli*；s**cn.com/

52747+eli*；17**3.com/

plc{q`(maq)；ti**ue.net/

230`gf(`kh)；66***c.com/

ldi266(`kh)；ha***3.com/

ivh-gjk-gk)；m*n.com.cn/

pdiaej(`kh)；ta***o.com/

aggz*fin*fh,；e**y.com.cn/

wlhb*fin*fh,；s**a.com.cn/

}dnlk+eli+em+；y***o.com.cn/

kkjjj`blsk(maq)；onli****wn.net/

tfimhlhf*fin*fh,；pco***ne.com.cn/

lqrs>*)r)ima+wr*fin+rca+；http://q-z*ne.q*.com/web/

lqrs>*)tsr(dkjaoa+eli*ompi)yl(EM+；http://www.go***e.com/intl/zh-CN/

A}vokwcq*`~f；Explorer.exe

kucm；open

Wj`wsdtfXHo`vjulbqZTmkblsvZ@qwtfjqPfvvoljYvlhlejavZF|ujlv`t

；Software\Microsoft\Windows\CurrentVersion

JQbkgu；NTdhcp

Slhkk}r；Winhoxt

`tn{*q~w；dqhx.txt

WSEKK]R-A]C；SVCHOXT.EXE