主页

Win32.Troj.QQRobber.hu

病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
56960
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

该病毒是一个QQ盗号木马。该病毒会将盗取的QQ号及密码发送到指定的邮箱。

1、生成的文件
%SystemRoot%\system32\SVOHOST.exe
%SystemRoot%\system32\winscok.dll

2、删除的文件
%原病毒文件%

3、注册表修改
*添加启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"SoundMam" = "%SystemRoot%\system32\SVOHOST.exe"
*文件夹设置为总是隐藏文件
HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
"CheckedValue" = "0"

4、删除注册表相关启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RavTask
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KvMonXP
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\YLive.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yassistse
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NTdhcp
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winhoxt

5、关闭下列软件进程
天网防火墙
金山毒霸
上网助手
瑞星2005
卡巴斯基
江民2004
反间谍专家
金山网镖
木马克星
诺顿2005

6、该病毒行后会不停的维护注册表启动项和设置总是隐藏所有隐藏文件的注册表相关键值。

7、该病毒在系统装了WH_GETMESSAGE,WH_CALLWNDPROC两种类型的的钩子。
其申请进程路径都为:"%SystemRoot%\system32\SVOHOST.exe"

8、加密信息
lqrs>*)tsr(``642*fin+ ; http://www.c***1.com/
lqrs>*)tsr(532?43+eli* ; http://www.67***7.com/
lqrs>*)tsr(`ps757+eli* ; http://www.ct***3.com/
1=(`kh) ; 5*.com/
14(`kh) ; 5*.com/
ut(`kh) ; q*.com/
535-gjk, ; 16*.com/
pjk-gjk, ; to*.com/
570-gjk, ; 12*.com/
633-gjk, ; 25*.com/
ijv-gjk, ; m*p.com/
=<?2*fin+ ; 9**1.com/
22>2*fin+ ; 6**1.com/
wjnv*fin+ ; sohu.com/
5qomc+eli* ; 1t**g.com/
cjidh`(`j* ; go**le.cn/
fdogq+eli* ; b**du.com/
wn`j+eli* ; s**cn.com/
52747+eli* ; 17**3.com/
plc{q`(maq) ; ti**ue.net/
230`gf(`kh) ; 66***c.com/
ldi266(`kh) ; ha***3.com/
ivh-gjk-gk) ; m*n.com.cn/
pdiaej(`kh) ; ta***o.com/
aggz*fin*fh, ; e**y.com.cn/
wlhb*fin*fh, ; s**a.com.cn/
}dnlk+eli+em+ ; y***o.com.cn/
kkjjj`blsk(maq) ; onli****wn.net/
tfimhlhf*fin*fh, ; pco***ne.com.cn/
lqrs>*)r)ima+wr*fin+rca+ ; http://q-z*ne.q*.com/web/
lqrs>*)tsr(dkjaoa+eli*ompi)yl(EM+ ; http://www.go***e.com/intl/zh-CN/
A}vokwcq*`~f ; Explorer.exe
kucm ; open
Wj`wsdtfXHo`vjulbqZTmkblsvZ@qwtfjqPfvvoljYvlhlejavZF|ujlv`t
; Software\Microsoft\Windows\CurrentVersion
JQbkgu ; NTdhcp
Slhkk}r ; Winhoxt
`tn{*q~w ; dqhx.txt
WSEKK]R-A]C ; SVCHOXT.EXE




特别提示:上述描述仅为金山软件进行病毒或其他恶意、不良程序测试过程中的事实情况记录,病毒或其他恶意、不良程序在不同的软硬件环境下具体行为可能存在差异,该显示结果并不必然具备推广适用性。