病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
36971
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗取QQ号及密码的木马病毒。该病毒会将盗取的QQ号和密码发送到指定的邮箱和提交到指定网页上。
1、生成的文件
%SystemRoot%\system32\NTdhcp.exe
%ProgramFiles%\Tencent\QQ\npkcrypt.bak
%SystemRoot%\Deleteme.bat
2、删除的文件
%ProgramFiles%\Tencent\QQ\npkcrypt.sys
%原病毒文件%
3、添加注册表启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"NTdhcp"="C:\WINNT\system32\NTdhcp.exe"
4、Deleteme.bat文件内容
------------------------------
:try
del"原病毒文件"
ifexist"原病毒文件"gototry
del%0
------------------------------
5、该病毒关闭下列软件进程
还原精灵
金山毒霸2005
卡巴斯基反病毒单机版
SymantecAntiVirus企业版
江民杀毒软件KV2004
天网防火墙个人版
天网防火墙企业版
瑞星2005
噬菌体
木马克星
毒霸个人防火墙
6、删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的相要害值
RavMon
KAVPersonal50
RavTimer
RavTask
KvMonXP
iDubaPersonalFireWall
KAVRun
KpopMon
Kulansyn
KavPFW
KvXP
ccApp
SSC_UserPrompt
NAVCfgWiz
MCAgentExe
McRegWiz
MCUpdateExe
MSKAGENTEXE
MSKDetectorExe
VirusScanOnline
VSOCheckTask
McAfeeUpdaterUI
ShStatEXE
RfwMain
SonudMan
KavStart
KWatch9x
7、该病毒在系统里装了一个类型为WH_JOURNALRECORD的钩子。
8、该病毒访问的网址
http://zjc.s***.cn/al/al0526.asp
la***8b.33**.org/new.jpg