基本信息

病毒描述(感染过程 病毒发展趋势)

基本信息

病毒名称：Trojan.QQMsg.WhBoy.cc

病毒大小：69372

传播方式：网络传播

危害程度： ★★

病毒描述

Trojan.QQMsg.WhBoy.cc利用QQ聊天工具进行传播，定时给QQ网友发送包含网址的信息来诱使用户点击，该网页利用了IE的Object Data漏洞下载并运行病毒本身，该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL，IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta，那么该URL指定的文件就能够执行，无论IE设置的安全级别有多高。病毒运行后，会给用户的QQ网友发送同样的信息，盗取传奇密码并以邮件形式发给盗密码者，并且结束多种反病毒软件，以保护自身不被清除。

感染过程

(1)病毒运行后将创建下列文件：

%Systemdir%\\system32.exe, 63972字节

%Systemdir%\\windows.exe, 63972字节

%Systemdir%\\microsoft.exe, 63972字节

%program files%\\tencent\\qq\\ad\\gif4.0, 25900字节

(2)修改注册表：

/在注册表中添加下列启动项：

[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Runonce]

"windows update" = %SystemDir%\\microsoft.exe

在Windows启动时，病毒就可以自动执行。

/修改txt文件关联：

[HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command]

"" = c:\\windows\\system\\system32.exe %1

用户打开任何txt文件，都会再次运行病毒程序。

(3)每隔一段时间给QQ网友发送信息:

例1：你刚才说什么?等等先,我先看完这个网站上的动画,太好看了,呵呵,你也可以来看看，没病毒的http://www.******fei.com

例2：你在做什么呢?知道我现在在看什么吗?哈哈,我在看这个图片,超级经典的,你看看http://www.*****fei.com

例3：给你一个网站,这个是我自己发的,不是什么尾巴的,你说说看,还有什么比这上面的画的世界更美好http://www.*****fei.com

(4)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息，发送到指定的E-Mail信箱。

病毒发展趋势

武汉男生病毒发展趋势:近期该病毒变种很多，几乎每天都能收到用户上报最新样本。该病毒早期版本只是简单的发送一个网页，增加该网页的浏览量，但是随着病毒自身的改进，逐步增加了盗取传奇等游戏或者偷窃QQ密码功能，并且会针对反病毒软件进行自身的保护，杀死反病毒软件

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%program files%一般为C:\\promgram filees；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。