词条 | Win32.Troj.QQMsg74163.b |
释义 | 基本信息病毒别名: 处理时间: 威胁级别:★★ 中文名称:QQ尾巴 病毒类型:木马 影响系统:Win9x / WinNT 病毒行为这是一个通过QQ传播的木马病毒。该病毒会将自己释放到系统目录下并替换所有的屏幕保护程序,将屏幕保护设置为病毒文件,将屏幕保护启动前的等待时间改为1分钟。该病毒会关闭安全软件和网络共享,当用户在跟QQ好友聊天的时候,病毒会自动向好友发送带有病毒的链接欺骗好友去点击,从而也感染该病毒。 1)病毒将自己拷贝到: %SystemRoot%\\IsUn0404.exe %SystemRoot%\\IsUn0804.exe %System%\\csrss.exe 2)用病毒文件替换下列的文件: %SystemRoot%目录下的 IsUninst.exe %System32%目录下的 logon.scr scrnsave.scr ss3dfo.scr ssbezier.scr ssflwbox.scr ssmarque.scr ssmaze.scr ssmyst.scr sspipes.scr ssstars.scr sstext3d.scr 频道屏幕保护程序.scr 3)通过一个批处理来关闭防火墙和网络共享: %System32%\\AUTOEXEC.BAT 该文件的内容: net stop "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" >>%System32%\\BOOTEX.LOG 4)添加启动项和更改屏幕保护程序(屏幕保护程序已经被病毒替换) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run "internet"="%System%\\csrss.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon 将"Shell"的键值从"Explorer.exe"改为"Explorer.exe %System%\\csrss.exe" HKEY_CURRENT_USER\\Control Panel\\Desktop "SCRNSAVE.EXE"="%System32%\\sstext3d.scr" HKEY_USERS\\S-1-5-21-823518204-1993962763-1343024091-500\\Control Panel\\Desktop "SCRNSAVE.EXE"="%System32%\\sstext3d.scr" 5)修改TXT的文件关联到病毒文件,使得每次打开TXT文件时,该病毒都会运行一次: HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command 将"@"的键值改为""%System%\\csrss.exe" "%1"" 将屏幕保护启动前的等待时间改为1分钟: HKEY_CURRENT_USER\\Control Panel\\Desktop HKEY_USERS\\S-1-5-21-823518204-1993962763-1343024091-500\\Control Panel\\Desktop 将"ScreenSaveTimeOut"的键值改为"60" 6)强行结束窗口标题中带有以下字眼的进程,以关闭安全软件: 木马 杀毒 邮件 网镖 防火墙 实时监 病毒监 病毒控 firewall fire wall antiviru 7)通过下面的一些字眼判断当前窗口是不是QQ的聊天窗口,如果是就自动发送带病毒链接的消息给QQ好友: 聊天 聊天中 送消息 - 发送消息 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。