病毒名称(中文):
QQ感染下载器71804
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
71804
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个会利用QQ传播的木马下载器。该病毒运行后,会关闭任务治理器(taskmgr.exe)的进程,同时搜索并关闭系统中的卡巴斯基的警告提示框。它还会监视QQ即时聊天工具的进程,伺机向用户的好友发送挂马链接,并从网上下载其它恶意软件或者木马等。
1.复制文件:
%ProgramFiles%\InternetExplorer\InfoWin.Dll
%ProgramFiles%\InternetExplorer\InfoWin.Sys
另外,在当前目录创建批处理文件_Ms.bat来删除自身
2.添加到到注册表:
添加以下注册表项,添加到ShellExecuteHooks,开机自启动:
[HKEY_CLASSES_ROOT\CLSID\{7B65ECF0-8FAA-48FA-A42D-A80A21F0AEA9}\InProcServer32]
@="C:\ProgramFiles\InternetExplorer\InfoWin.Sys"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7B65ECF0-8FAA-48FA-A42D-A80A21F0AEA9}\InProcServer32]
@="C:\ProgramFiles\InternetExplorer\InfoWin.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{9B65ECF0-8FAA-48FA-A42D-A80A21F0AEA9}=""
3.破坏方式
该木马运行后,复制文件到InternetExplore所在文件夹,添加到ShellExecuteHooks,随系统Explorer.exe启动,启动后注入到
Explorer.exe进程,创建独立的线程分别完成以下的动作:监视系统中是否有任务治理器(taskmgr.exe)的进程,有则尝试关闭,
另外假如监视到系统中有avp.exe,则关闭其警告框;创建消息钩子,建立消息循环,捕捉系统对话框(#32770)消息,假如发现
是QQ聊天窗口,则在后台向该窗口发送信息;尝试连接网络,下载其他的恶意软件或者木马等。
4.相关网址
http://www.z**66.com/
可能通过该网址下载木马等。