|
自己发文件……
Trojan.PSW.QQPass.l
破坏方法:窃取OICQ帐号密码的木马病毒
病毒采用VC编写,"PECompact"压缩。
病毒运行后有以下行为:
一、将自己复制到"%WINDIR%"目录下的"SYSTEM"(WIN2K)或"SYSTEM32"(WIN9X)目录,文件名为"rundll32.exe"。另外,病毒还将自己复制为%SYSDIR%目录下的两个文件,文件名分别为"?.exe"、"notepad?.exe"
二、修改注册表以下键值以达到其自启动的目的:
1.HKEY_CLASSES_ROOT\exefile\shell\open\command
(默认) : "? "%1" %*"(注:该字符串的前两个字符为空格,当运行EXE文件时将会启动%SYSDIR%目录下的"?.exe"文件)
2.HKEY_CLASSES_ROOT\txtfile\shell\open\command
(默认) : "NOTEPAD? %1"(注:当打开TXT文件时将会启动%SYSDIR%目录下的"notepad?.exe"文件)
三、下载指定的文件到本地计算机运行。
四、试图窃取OICQ登录信息,并将窃取的信息发送到指定邮箱。
五、将病毒文件发送给其他的OICQ用户,文件名有以下可能:
"好漂亮的动画哦,你打开看看吧.exe"
"一个对你目前工作很有帮助的好东东.exe"
"你一定需要的工作资料(网上找到的).exe"
"接啊,快接啊,推荐给你看看.exe"
"QQTalk(QQ聊天秘籍,给你看看吧).exe"
"网上电视(20个CCTV频道+36个省台+50个英文台,极力推荐).exe"
"啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe"
"笑死我了,你看过这个FLASH吗.exe"
"今年过年不收礼,收礼只收白骨精(搞笑版广告).exe"
"超级MM,超级FLASH,请你笑纳.exe"
"腾讯QQ特殊使用技巧之动画教程(对你一定很有用的).exe"
"网上听收音机(调到第5个频道,我们边聊边听吧).exe"
"在线收音机(我们一起听听第6个频道吧,来探讨这个话题).exe"
"看看我的高清晰视频图像,比QQ自带的强10倍.exe"
"你先看看我用静态照片制作成的MTV吧,我马上回来.exe"
"给你推荐一个周末好去处,打开看看就知道了.exe"
"本周末有什么打算?给你推荐一个好去处!.exe"
病毒真是有意思
该病毒运行后,会显示出一个图片“安装时检测到系统中某程序与本软件发生冲突,请先纠正该冲突,或选择另一台电脑上安装!”,同时生成%System%\?.exe、%System%\notepad?.exe、%Windows%\System\RUNDLL32.EXE、DSnk.exe(可能)、VSnk.exe(可能)、myup.exe(可能)、TIMP1atform.exe(qq文件夹下,注意是1不是l)
??会在注册表:
??Software\Classes\MSipv
??下加入MainSetup、MainUp和MainVer三项DWORD
??同时修改exe和txt关联:
??Software\Classes\txtfile\shell\open\command
??Software\Classes\exefile\shell\open\command
??EXE文件关联被修改为“? %1 %*”
??TXT文件关联被修改为“notepad?.exe %1”
??除此之外,还会远程下载更新程序:
??http://www.mxm9191.com/myrunner_up.exe(该url无效)
??http://www.zigui.org/article.php?id=103601
??
??清理方法:
??打开任务管理器,结束掉RUNDLL32.EXE和TIMP1atform.exe(注意那是数字1)。
??然后让Windows显示隐藏文件,找到以下文件并且将其删除:
??%System%\?.exe
??%System%\notepad?.exe
??%Windir%\System\RUNDLL32.EXE
??QQ目录中的TIMP1atform.exe(注意是数字1不是字母l,别删错了)
??然后打开注册表编辑器删除:
??HKEY_LOCAL_MACHINE\Software\Classes\MSipv和HKEY_CURRENT_USER\Software\Classes\MSipv下的MainSetup、MainUp、MainVer三项DWORD键值。
??最后通过注册表修复工具修复EXE和TXT文件关联,重新启动即可。
| 
发表于 2005-4-10 16:16:00
发表于 2005-4-24 01:11:00
