Win32.Troj.QQRobber.hu

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

56960

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒是一个QQ盗号木马。该病毒会将盗取的QQ号及密码发送到指定的邮箱。

1、生成的文件

%SystemRoot%\system32\SVOHOST.exe

%SystemRoot%\system32\winscok.dll

2、删除的文件

%原病毒文件%

3、注册表修改

*添加启动项

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

"SoundMam"="%SystemRoot%\system32\SVOHOST.exe"

*文件夹设置为总是隐藏文件

HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall

"CheckedValue"="0"

4、删除注册表相关启动项

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RavTask

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KvMonXP

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\YLive.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yassistse

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NTdhcp

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winhoxt

5、关闭下列软件进程

天网防火墙

金山毒霸

上网助手

瑞星2005

卡巴斯基

江民2004

反间谍专家

金山网镖

木马克星

诺顿2005

6、该病毒行后会不停的维护注册表启动项和设置总是隐藏所有隐藏文件的注册表相要害值。

7、该病毒在系统装了WH_GETMESSAGE,WH_CALLWNDPROC两种类型的的钩子。

其申请进程路径都为:"%SystemRoot%\system32\SVOHOST.exe"

8、加密信息

lqrs>*)tsr(``642*fin+;http://www.c***1.com/

lqrs>*)tsr(532?43+eli*;http://www.67***7.com/

lqrs>*)tsr(`ps757+eli*;http://www.ct***3.com/

1=(`kh);5*.com/

14(`kh);5*.com/

ut(`kh);q*.com/

535-gjk,;16*.com/

pjk-gjk,;to*.com/

570-gjk,;12*.com/

633-gjk,;25*.com/

ijv-gjk,;m*p.com/

=<?2*fin+;9**1.com/

22>2*fin+;6**1.com/

wjnv*fin+;sohu.com/

5qomc+eli*;1t**g.com/

cjidh`(`j*;go**le.cn/

fdogq+eli*;b**du.com/

wn`j+eli*;s**cn.com/

52747+eli*;17**3.com/

plc{q`(maq);ti**ue.net/

230`gf(`kh);66***c.com/

ldi266(`kh);ha***3.com/

ivh-gjk-gk);m*n.com.cn/

pdiaej(`kh);ta***o.com/

aggz*fin*fh,;e**y.com.cn/

wlhb*fin*fh,;s**a.com.cn/

}dnlk+eli+em+;y***o.com.cn/

kkjjj`blsk(maq);onli****wn.net/

tfimhlhf*fin*fh,;pco***ne.com.cn/

lqrs>*)r)ima+wr*fin+rca+;http://q-z*ne.q*.com/web/

lqrs>*)tsr(dkjaoa+eli*ompi)yl(EM+;http://www.go***e.com/intl/zh-CN/

A}vokwcq*`~f;Explorer.exe

kucm;open

Wj`wsdtfXHo`vjulbqZTmkblsvZ@qwtfjqPfvvoljYvlhlejavZF|ujlv`t

;Software\Microsoft\Windows\CurrentVersion

JQbkgu;NTdhcp

Slhkk}r;Winhoxt

`tn{*q~w;dqhx.txt

WSEKK]R-A]C;SVCHOXT.EXE

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航