基本信息

病毒行为

基本信息

病毒别名：

处理时间：

威胁级别：★★

中文名称：QQ尾巴

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为

这是一个通过QQ传播的木马病毒。该病毒会将自己释放到系统目录下并替换所有的屏幕保护程序，将屏幕保护设置为病毒文件，将屏幕保护启动前的等待时间改为1分钟。该病毒会关闭安全软件和网络共享，当用户在跟QQ好友聊天的时候，病毒会自动向好友发送带有病毒的链接欺骗好友去点击，从而也感染该病毒。

1)病毒将自己拷贝到：

%SystemRoot%\\IsUn0404.exe

%SystemRoot%\\IsUn0804.exe

%System%\\csrss.exe

2)用病毒文件替换下列的文件：

%SystemRoot%目录下的

IsUninst.exe

%System32%目录下的

logon.scr

scrnsave.scr

ss3dfo.scr

ssbezier.scr

ssflwbox.scr

ssmarque.scr

ssmaze.scr

ssmyst.scr

sspipes.scr

ssstars.scr

sstext3d.scr

频道屏幕保护程序.scr

3)通过一个批处理来关闭防火墙和网络共享：

%System32%\\AUTOEXEC.BAT

该文件的内容：

net stop "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" >>%System32%\\BOOTEX.LOG

4)添加启动项和更改屏幕保护程序（屏幕保护程序已经被病毒替换）

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"internet"="%System%\\csrss.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

将"Shell"的键值从"Explorer.exe"改为"Explorer.exe %System%\\csrss.exe"

HKEY_CURRENT_USER\\Control Panel\\Desktop

"SCRNSAVE.EXE"="%System32%\\sstext3d.scr"

HKEY_USERS\\S-1-5-21-823518204-1993962763-1343024091-500\\Control Panel\\Desktop

"SCRNSAVE.EXE"="%System32%\\sstext3d.scr"

5)修改TXT的文件关联到病毒文件，使得每次打开TXT文件时，该病毒都会运行一次：

HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command

将"@"的键值改为""%System%\\csrss.exe" "%1""

将屏幕保护启动前的等待时间改为1分钟：

HKEY_CURRENT_USER\\Control Panel\\Desktop

HKEY_USERS\\S-1-5-21-823518204-1993962763-1343024091-500\\Control Panel\\Desktop

将"ScreenSaveTimeOut"的键值改为"60"

6)强行结束窗口标题中带有以下字眼的进程，以关闭安全软件：

木马

杀毒

邮件

网镖

防火墙

实时监

病毒监

病毒控

firewall

fire wall

antiviru

7)通过下面的一些字眼判断当前窗口是不是QQ的聊天窗口，如果是就自动发送带病毒链接的消息给QQ好友：

聊天

聊天中

送消息

- 发送消息