§ 概述

病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

QQ尾巴变种

编写工具:Delphi 用Upx加壳

传染条件:IE浏览器漏洞

发作条件:使用QQ 聊天工具

§ 系统修改:

释放如下文件：

%system%Explore.exe（Win32.Troj.QQwb）

%SystemRoot%hws.exe（Win32.Troj.Delf.bz）

在注册表主键：

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun 添加

"cExplorer"="C:WINXPSystem32Explore.exe"

"Explorer"="C:WINXPSystem32Explore.exe"

"url"="http://www.52011.com"

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices 添加：

hws: "C:WINXPhws.exe"

HKLMSOFTWAREMicrosoftWindowsCurrentVersionWinlogon

"LegalNoticeCaption"＝"免费看电影"

"LegalNoticeText"＝"http://www.52011.com"

HKCUSoftwareMicrosoftInternet ExplorerMain

"Window Title"="免费看电影http://www.52011.com" 修改IE浏览器标题栏

HKCUMicrosoftWindowsCurrentVersionRun

"hws"="C:WINXPhws.exe"

HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel

"HomePage"="0x00000001"

禁止修改用户首页

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

"DisableRegistryTools"="0x00000001"

禁止注册表编辑

HKLMSOFTWAREMicrosoftInternet ExplorerMain

Start Page: "http://www.52011.com"

修改首页

HKLMSOFTWAREClassesinifileshellopencommand:

""%System%Explore.exe" "%1""

HKLMSOFTWAREClasses xtfileshellopencommand:

""%System%Explore.exe" "%1""

修改关联

会产生如下的互斥量：QQWB_HANDLE_OF_MUTEX

§ 发作现象:

A、首页被修改，用户不能编辑注册表、不能编辑首页地址

B、QQ发送时会有如下尾巴：

你太厉害了，我写的文章不错嘛！尤其是在抒情方面最为突出，我刚才在网上看到了你的文章，我十分惊讶作者的名字也叫发呆，开始以为是重名，但是下面的QQ不信你到这个网站看看，上面收集了很多经典文章：

http://www.52011.com 点击进入网站

你的文章就在上面，你往下拉，左边第一排叫《书写的爱情》，这个就是你的文章！还有,给你介绍的传奇私服,是仿盛大,非常公平!服务器名字：找找传奇 IP:285.133.251

关闭如下进程：

RavMon.exe

天网防火墙个人版

天网防火墙企业版

木马克星

噬菌体

ZoneAlarm

EGHOST.EXE

MAILMON.EXE

netbargp.exe

特别说明:

• 余凛
• 余凤娇烈士
• 余分
• 余分闰位
• 余分闰气
• 余切
• 余切函数
• 余切向量
• 余刚
• 余初发烈士
• 余初泉烈士
• 余剑
• 余剩
• 余力
• 余力为
• 余功
• 余功义烈士
• 余加水烈士
• 余加顺烈士
• 余务
• 余务兴烈士
• 余务安烈士
• 余劲松
• 余势
• 余勇