词条 | QQ狩猎者(QQmsg各变种) |
释义 | 该病毒首次大规模爆发是在今年的2月18日,2月24日又出现一个类似的变种。3月下旬,该病毒又出现3个变种,增加了猜密码的功能。5月13日,该病毒再次大规模爆发,新变种完善了已有的功能,添加了感染可执行文件,反安全软件,监控内存,盗取信息等多种能力,此后又发展了多个变种,几乎使用了两年来PE病毒常用的各种技术,成为一种继“求职信”后,典型的集传统感染型病毒,蠕虫,木马黑客程序为一体的混和型病毒。许多邮件服务器都在极短时间内不堪重负而崩溃。 基本信息常用别名:“爱情后门”,“爱之门”,LovGate等 危害等级:★★★★ 危害综述该系列病毒主要技术特点如下: A.改进的邮件传播方式,能够随机根据收件箱中的已有邮件向外传播自己,带毒邮件的主题和内容跟原始邮件有关;将病毒副本做为附件,附件名称随机,极具迷惑性。 B.释放木马到系统目录,以服务的形式运行,服务名称模仿系统正常服务;监听端口,允许黑客控制被感染的计算机,盗取用户帐号等信息。 C.修改注册表的启动项,txt和exe文件关联,win.ini文件。 D.搜寻本地网络共享目录,通过可写的共享目录感染。 E. 猜测局域网中NT/2000/XP机器的Administrator、Guest用户密码,一旦猜中就将自己复制到对方机器,然后伪装成类似“Microsoft NetWork FireWall Services”的服务运行。 F.感染EXE文件,寄生到可执行程序的头部。 G.运行一个监控进程,当病毒终止时立即重新装载,反复重写注册表,终止一些知名的反病毒软件。 病毒特征1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网: http://flash2.533.net " 2、当浏览带毒网站时,会利用IE漏洞,尝试新增sys文件和tmp文件的执行关联,并下载执行病毒文件 b.sys,如果IE已经打上补丁,则会弹出一个插件对话框,引诱用户安装,安装后会将自己安装到 %Windows%Downloaded Program Files 文件夹中,文件名为 "b.exe",如果用户拒绝安装该插件,会不断弹出对话框要求用户安装。 3、复制文件: A、复制病毒体到 %SystemRoot% 文件夹中,文件名为"Rundll32.exe"; B、复制病毒体为 "C:\\cmd.exe"; C、试图复制病毒体到共享目录中,名为"病毒专杀.exe"和"周杰伦演唱会.exe"。 4、添加注册表启动项,以随机启动在注册表的主键:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe" 5、修改和新增以下文件关联 A、修改.exe文件的关联,每当执行exe文件时,即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOT\\exefile\\shell\\open\\command 修改如下键值:默认="C;\\cmd.exe %1 &*" B、新增.sys文件的执行关联,使得在浏览带毒网站时执行病毒文件 b.sys在注册表的主键: HKEY_CLASS_ROOT\\sysfile\\shell\\open\\command修改如下键值:默认="""%1"" %*" C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOT\\tmpfile\\shell\\open\\command修改如下键值:默认="""%1"" %*" 6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"信箱中。 7、在Win2000、WinXP、Win2003系统中,系统文件"Rundll32.exe"就在系统目录中,因而病毒会尝试将该文件覆盖,但这几个系统都能自动保护并恢复受到破坏的系统文件,因而病毒不能正常加载,但仍可以通过EXE关联被加载. 清除方法A、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能; B、重新启动到安全模式下; C、先将regedit.exe改名为regedit.com,再用资源管理器结束cmd.exe进程,然后运行regedit.com,将EXE关联修改为""%1" %*",再删除以下文件:C:\\cmd.exe、%Windows%\\Download Program Files\\b.exe。对于Win9x系统,还要删除%SystemRoot%\\Rundll32.exe,再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会. exe"这两个文件,文件大小为11184字节,如果有,将其删除。 D、清理注册表: 打开注册表,删除主键 HKEY_CLASSES_ROOT\\sysfile\\shell\\open、HKEY_CLASSES_ROOT\\tmpfile\\shell\\ open 修改 HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command 的键值为 "%1" %* 防范措施不要轻易点击QQ上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画播放插件2.0")。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。