请输入您要查询的百科知识:

 

词条 Win32.Troj.QQMsg74163.b
释义

基本信息

病毒别名:

处理时间:

威胁级别:★★

中文名称:QQ尾巴

病毒类型:木马

影响系统:Win9x / WinNT

病毒行为

这是一个通过QQ传播的木马病毒。该病毒会将自己释放到系统目录下并替换所有的屏幕保护程序,将屏幕保护设置为病毒文件,将屏幕保护启动前的等待时间改为1分钟。该病毒会关闭安全软件和网络共享,当用户在跟QQ好友聊天的时候,病毒会自动向好友发送带有病毒的链接欺骗好友去点击,从而也感染该病毒。

1)病毒将自己拷贝到:

%SystemRoot%\\IsUn0404.exe

%SystemRoot%\\IsUn0804.exe

%System%\\csrss.exe

2)用病毒文件替换下列的文件:

%SystemRoot%目录下的

IsUninst.exe

%System32%目录下的

logon.scr

scrnsave.scr

ss3dfo.scr

ssbezier.scr

ssflwbox.scr

ssmarque.scr

ssmaze.scr

ssmyst.scr

sspipes.scr

ssstars.scr

sstext3d.scr

频道屏幕保护程序.scr

3)通过一个批处理来关闭防火墙和网络共享:

%System32%\\AUTOEXEC.BAT

该文件的内容:

net stop "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" >>%System32%\\BOOTEX.LOG

4)添加启动项和更改屏幕保护程序(屏幕保护程序已经被病毒替换)

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"internet"="%System%\\csrss.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

将"Shell"的键值从"Explorer.exe"改为"Explorer.exe %System%\\csrss.exe"

HKEY_CURRENT_USER\\Control Panel\\Desktop

"SCRNSAVE.EXE"="%System32%\\sstext3d.scr"

HKEY_USERS\\S-1-5-21-823518204-1993962763-1343024091-500\\Control Panel\\Desktop

"SCRNSAVE.EXE"="%System32%\\sstext3d.scr"

5)修改TXT的文件关联到病毒文件,使得每次打开TXT文件时,该病毒都会运行一次:

HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command

将"@"的键值改为""%System%\\csrss.exe" "%1""

将屏幕保护启动前的等待时间改为1分钟:

HKEY_CURRENT_USER\\Control Panel\\Desktop

HKEY_USERS\\S-1-5-21-823518204-1993962763-1343024091-500\\Control Panel\\Desktop

将"ScreenSaveTimeOut"的键值改为"60"

6)强行结束窗口标题中带有以下字眼的进程,以关闭安全软件:

木马

杀毒

邮件

网镖

防火墙

实时监

病毒监

病毒控

firewall

fire wall

antiviru

7)通过下面的一些字眼判断当前窗口是不是QQ的聊天窗口,如果是就自动发送带病毒链接的消息给QQ好友:

聊天

聊天中

送消息

- 发送消息

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/2 0:51:25