病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
28387
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows下台专对QQ网络即时聊天工具的盗号木马,病毒运行后伪装成系统正常文件,然后在后台监视盗取用户QQ帐号密码信息,网络状态可用时,病毒将盗取的信息发送至病毒作者指定的网站或邮箱。
同时病毒运行过程会尝试中止用户机器上的相关防病毒软件。给用户造成一定危害。
病毒主要依靠捆绑软件或欺骗方式进行传播。
1、病毒运行后将自身复制为以下伪系统正常文件:
%Windir%\system32\SVOHOST.exe
%Windir%\system32\winscok.dll
%windir%\system32\dqhx.txt
2、查找包含以下字符串的窗体,找到后发送关闭窗体消息,使相关的程序退出:
QQKAV
雅虎助手
卡卡上网安全助手
反间谍专家
防火墙
网镖
杀毒
病毒
木马
QQAV
瑞星提示
3、网络可用时,访问以下网站:
http://www.cd***.com
http://www.67**.com
4、将获取的用户QQ帐号密码信息发送至以下网站:
http://www.x****.com/dqhx.asp
5、连接以下网站下载其它病毒程序:
http://msg.cd***.com/down.txt
6、假如是Win9x系统,病毒会尝试调用"RegisterServiceProcess"函数将自身进程隐藏。
7、添加以下注册表自启动项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
SoundMam="c:\winnt\system32\svohost.exe"
8、修改以下注册表项使系统不显示隐藏文件:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"="0"
9、同时病毒还会修改以下相关注册表项:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"hx-1"=""
10、病毒创建以下几个互斥对象,使相关防病毒软件无法运行:
AntiTrojan3721
ASSISTSHELLMUTEX
SKYNET_PERSONAL_FIREWALL
KingsoftAntivirusScanProgram7Mutex
11、病毒运行时,删除系统中的以下相关进程:
NTdhcp.exe
SVCHOXT.EXE
PFW.exe
Kav.exe
kav32.exe
kvwsc.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
EGHOST.exe
KavPFW.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
KVSrvXp_1.exe
RavService.exe
12、删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的以下相要害值:
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
NTdhcp
Winhoxt
13、执行命令停止相关杀毒软件服务,列表如下:
net.exestopsharedaccess
net.exestopKVWSC
net.exestopKVSrvXP
net.exestopKavsvc
net.exestopRsCCenter
net.exestopRsRavMon
sc.execonfigKVWSCstart=disabled
sc.execonfigKVSrvXPstart=disabled
sc.execonfigKavsvcstart=disabled
sc.execonfigRsRavMonstart=disabled
sc.execonfigRsCCenterstart=disabled