| 词条 | Trojan-PSW.Win32.QQDragon.bl |
| 释义 | 该病毒属木马类,病毒图标为文本文档图标,用以迷惑用户点击运行。病毒运行后复制自身到%windir%下,且文件名为services.exe,与系统文件%system32%\\services.exe的名相同,在任务管理器中利用用户名来区分,病毒复制自身到所有非隐藏文件夹中,病毒名随机建立;修改注册表,添加七处启动项,以达到随机启动的目的;访问网络,打开含有病毒的网站;修改Internet Explorer主页,用户打开Internet Explorer时会自动登陆到含有病毒的网站。 简介病毒名称: Trojan-PSW.Win32.QQDragon.bl 病毒类型: 木马 文件 MD5: A0FD84459E5751BDB75CD5CC7D409E69 公开范围: 完全公开 危害等级: 中 文件长度:32,768 字节 感染系统: windows98以上版本 开发工具: Microsoft Visual Basic 5.0 / 6.0 加壳类型: 无 命名对照: Symentec[Infostealer] Mcafee[无] 病毒描述由于病毒在所有非隐藏文件夹中都建立一个病毒体,所以建议用户在杀毒时用反病毒软件进行全盘扫描,以彻底清除病毒。 行为分析1、病毒运行后复制自身到%windir%下,且文件名为services.exe,复制自身到所有非隐藏文件夹中,病毒名随机建立: %windir%\\services.exe 2、修改注册表,添加七处启动项,以达到随机启动的目的: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT \\CurrentVersion\\Windows\\Run 键值: 字串: "C:\\WINDOWS\\services.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\Run\\services 键值: 字串: "C:\\WINDOWS\\services.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\Runservices\\ HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\Runservices\\services 键值: 字串: "C:\\WINDOWS\\services.exe" HKEY_CURRENT_USER\\Software\\VB and VBA Program Settings \\ie2007\\5.0\\Lock_Url 键值: 字串: "http://www.ahaoz.com" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run\\services 键值: 字串: "C:\\WINDOWS\\services.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\Runservices\\ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\Runservices\\services 键值: 字串: "C:\\WINDOWS\\services.exe" 3、修改Internet Explorer主页: HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer \\Main\\Start Page 新建键值: 字串: "http://www.ahaoz.com" 原键值: 字串: "http://www.baidu.com/" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer \\Main\\Start Page 新建键值: 字串: "http://www.ahaoz.com" 原键值: 字串: http://www.microsoft.com/isapi/redir.dll? prd={SUB_PRD}&clcid= {SUB_CLSID}&pver={SUB_PVER}&ar=home 4、访问网络: 协议:TCP IP:58.60.249.29:80 本地端口:随机开启本地1024以上端口,如:1158 域名:http://www.ahaoz.com/money01.htm URL连接:http://www.71game.com/money.htm 5、由于病毒在所有非隐藏文件夹中都建立一个病毒体,所以建议用户在杀毒时用反病毒软件进行全盘扫描,以彻底清除病毒。 注:% windir%是一个可变路径。病毒通过查询操作系统来决定当前windows文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt,windows95/98/me/xp中默认的安装路径是C:\\Windows。 清除方案1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 (2) 删除病毒文件 %windir%\\services.exe 所有非隐藏文件夹下的病毒文件 (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT \\CurrentVersion\\Windows\\Run 键值: 字串: "C:\\WINDOWS\\services.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\Run\\services 键值: 字串: "C:\\WINDOWS\\services.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion \\Runservices\\ HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion \\Runservices\\services 键值: 字串: "C:\\WINDOWS\\services.exe" HKEY_CURRENT_USER\\Software\\VB and VBA Program Settings\\ie2007 \\5.0\\Lock_Url 键值: 字串: "http://www.ahaoz.com" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\Run\\services 键值: 字串: "C:\\WINDOWS\\services.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\Runservices\\ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\Runservices\\services 键值: 字串: "C:\\WINDOWS\\services.exe" 恢复注册表原键值: HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer \\Main\\Start Page 新建键值: 字串: "http://www.ahaoz.com" 原键值: 字串: "http://www.baidu.com/" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer \\Main\\Start Page 新建键值: 字串: "http://www.ahaoz.com" 原键值: 字串: http://www.microsoft.com/isapi/redir.dll? prd={SUB_PRD}&clcid= {SUB_CLSID}&pver={SUB_PVER}&ar=home |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。