§ 概述

病毒别名：

处理时间：

威胁级别：★

中文名称：传奇QQ尾巴

病毒类型：木马

影响系统：win9X/WinNT/Win2000/WinXP/Win2003

病毒行为:

QQ尾巴系列

编写工具:

传染条件:用户点击感染机器用户传来的QQ信息后面的链接地址,指向病毒网页,然后利用IE漏洞,感染机器

发作条件:

§ 简介

系统修改:

A、将将捆绑的文件释放到系统安装目录下：

%SystemRoot%Expl0rer.exe

%SYSTEM%"QTAPPS.DLL

Expl0rer.exe 为传奇木马，QTAPPS.DLL 为QQ尾巴，并设置为隐藏．

B、

1、在注册表主键：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

下添加如下键值：

"BIE"="%SystemRoot%Expl0rer.exe"

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunServices

下添加如下键值：

"BIE"="%SystemRoot%Expl0rer.exe"

用于启动木马程序。

2、在注册表主键：

HKLMSOFTWAREClassesCLSIDInprocServer32

下添加如下键值：

"默认"="%System%QTAPPS.DLL"

"ThreadingModel"="Apartment"

用于注入QQ尾巴

发作现象:

1、聊天时每句话会多一个网页，这个网页含有木马

2、木马下载一个四百字节的EXE程序，用这个小程序下载从网上下载另外真正的木马程序

3、运行这个木马，释放两个文件QTAPPS.DLL用于感染QQ

4、木马会查找以下杀毒软件，如果存在则关掉这些杀毒软件的进程：

瑞星

天网防火墙个人版

天网防火墙企业版

木马克星

噬菌体

5、Expl0rer.exe 为传奇木马通过脚本传送邮件，邮件格式如下

MAIL FROM: gaoyong@263.comFrom: "高EXPLORER"

Subject: 最近好吗

传奇登录

---------

区域:

用户名:

密码:

服务器:

角色:

物品信息

-----------------

附加信息

--------------------

IP地址:

计算机名:

发送时间:

特别说明:

• 清正散
• 清殊
• 清殷攀龙故居
• 清殷氏宗
• 清毅
• 清毒二仙丹
• 清毒保目汤
• 清毒膏
• 清气利膈丸
• 清气化痰丸
• 清气化痰汤
• 清气化痰茶
• 清气天麻汤
• 清气散
• 清气涤痰丸
• 清气达痰丸
• 清气饮
• 清气香芎汤
• 清氛
• 清水 健太
• 清水 范久
• 清水一行
• 清水乡
• 清水冷灶
• 清水出芙蓉