| 病毒资料:W32/QQRob.BK!pws | |||||||||
| 基本信息 | |||||||||
| 病毒名称: | W32/QQRob.BK!pws | 类型: | 木马 | 长度: | 26275 | 威胁级别: | 2 | 捕获日期: | 2006-02-10 |
| 其它别名: | Trojan-PSW.Win32.QQRob.cb,PWS-QQRob trojan | 影响系统: | MS-Windows | ||||||
| 表现特征 | |||||||||
| 1. %SYSTEM% 目录下存在文件 NTdHcP.exe; 2. QQ 的帐号和密码可能被他人盗用; 3. 某些杀毒软件不能正常运行。 | |||||||||
| 行为分析 | |||||||||
| 1. 这是一个 PE 病毒,使用加壳工具 nSPack 加密,加密后长度为 26,275 字节,其中包含 163 字节的 附加数据; 2. 试图隐藏自身进程; 3. 拷贝自身到 %SYSTEM%\NTdHcP.exe,添加“隐藏”,“系统”和“只读”属性并执行,再删除自身; 4. 关闭下列窗口: LanCardS 還原精靈 还原精灵 還原精靈 DEMO 还原精灵 DEMO 還原精靈21st 还原精灵21st 還原精靈21st DEMO 还原精灵21st DEMO TrojDie_Frame KvXP_ExpertFrame Jiangmin Registry Monitor Ex KVXP_Monitor Symantec AntiVirus RavMon.exe ZoneAlarm ... 省去部分; 5. 窃取用户的 QQ 号码及密码并发送到病毒作者指定的邮箱如 newqqd@21cn.com,myqqf@126.com等; 6. 停止下列进程: FireTray.exe UpdaterUI.exe TBMon.exe SHSTAT.EXE RAV.EXE RAVMON.EXE RAVTIMER.EXE Iparmor.exe KAVPFW.EXE KmailMon.EXE KAVStart.exe TrojanDetector.EXE KVFW.EXE KAVPLUS.EXE ... 省去部分; 7. 在注册表项 HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run 下面创建子键 "NTdhcp" = "%SYSTEM%\NTdhcp.exe" 使得病毒能够开机自运行并删除下列子键使得部分杀毒软件不能正常启动: RavMon KAVPersonal50 RavTimer RavTask KvMonXP iDuba Personal FireWall KAVRun KpopMon Kulansyn MSKAGENTEXE MSKDetectorExe VirusScan Online KavStart ... 8. 在下列注册表项 HKLM\SYSTEM\CurrentControlSet\Services\navapsvc HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter HKLM\SYSTEM\CurrentControlSet\Services\kavsvc HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP HKLM\SYSTEM\CurrentControlSet\Services\wscsvc HKLM\SYSTEM\CurrentControlSet\Services\KPfwSvc HKLM\SYSTEM\CurrentControlSet\Services\ HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc HKLM\SYSTEM\CurrentControlSet\Services\ccProxy HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC HKLM\SYSTEM\CurrentControlSet\Services\NPFMntor HKLM\SYSTEM\CurrentControlSet\Services\MskService HKLM\SYSTEM\CurrentControlSet\Services\FireSvc HKLM\SYSTEM\CurrentControlSet\Services\McShield HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager HKLM\SYSTEM\CurrentControlSet\Services\McAfeeFramework ... 下面设置子键 "Start" = 4 停止部分杀毒软件的服务; 9. 连接网址 http://alaqq17e.3322.org/new.jpg 下载文件存为 c:\new.exe 并执行。 | |||||||||
| 清除方法 | |||||||||
| 1.打开任务管理器,结束进程“NTdhcp.exe”; 2.删除隐藏文件“%SYSTEM%\NTdhcp.exe”; 3.打开注册表编辑器,删除病毒的注册表启动项; 4.重新恢复可能被破坏的的反病毒程序的启动服务。 | |||||||||
正文
[病毒资料之八]NTdHcP.exe进程病毒2006-08-16 00:26:00
【评论】 【打印】 【字体:大 中 小】 本文链接:http://blog.pfan.cn/fengfei/17615.html
阅读(6029) | 评论(1)
版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!
评论