病毒别名：TrojanSpy.Win32.Qukart.gen[AVP]

处理时间：

威胁级别：★★

中文名称：盗密专家

病毒类型：木马

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

编写工具:

传染条件:

发作条件:

系统修改:

A、将自身复制到："%System%<随机文件名>.exe"

释放出一个DLL："%System%<随机文件名>.dll"

B、在注册表主键HKEY_CLASSES_ROOTCLSID{79FEACFF-FFCE-815E-A900-316290B5B738}InProcServer32下添加键值：

"(默认)" = "%System%<随机文件名>.dll"

"ThreadingModel" = "Apartment"

在注册表主键HKEY_CURRENT_USERSoftwareMicrosoft下新建键值：

"QueenKarton" = dword:0000000d

在注册表主键HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad下添加键值：

"Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"

C、将注册表主键：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones1

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones2

下的

"1601" = dword:0 (默认)

和

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones3

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones4

下的

"1601" = dword:1 (默认)

都设为：

"1601" = dword:0

将注册表主键HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings下的

设置为

"GlobalUserOffline" = dword:0

在注册表主键HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowseNewProcess下添加键值：

"BrowseNewProcess" = "yes"

D、可能会创建如下文件来保存收集到的信息及下载的配置信息：

"%System%dnkkq.dll"

"%System%kkq32.vxd"

"%System%kkq32.dll"

"%System%Rtdx1<数字>.dat"

发作现象:

收集计算机的密码信息，通过http请求发送到指定网页。并可以自动更新。

特别说明: