Trojan.QQ3344.aj

2008-02-23 08:42:44来源：互联网阅读 ()

病毒名称: Trojan.QQ3344.aj 类别：木马病毒病毒资料：破坏方法：

这是恶意站点www.***aogo.com释放的病毒，利用IE漏洞自动运行。

一、拷贝自身为系统目录

％SYSTEM％\siroa.exe
％SYSTEM％\wecistre.exe

二、病毒搜索“聊天记录”窗口，试图在聊天语句中随机添加一些诱惑性语句，以此诱使用户登录恶意网站。

三、病毒诱惑网友连接下列网址：

http://www.***21kd.com
http://www.***aogo.net/vod
http://www.***21kd.com
http://www.***aogo.net/vod

四、病毒驻留开辟新的线程，每隔一秒钟，修改IE主页，关联txt文件。

这样,防止用户手工修改。

当用户打开IE或打开记事本文件时，都会激活病毒。

1
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(默认) : ％SYSTEM％\siroa.exe "％1"

2
HKEY_CURRENT_USER\Software\Microsoft\Internet EXPlorer\Main
start page : http://www.aogo.net/

3
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
search page : http://www.aogo.net/

4
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main
start page : http://www.aogo.net/

5
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main
search page : http://www.aogo.net/

6
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\Run

Registry : ％SYSTEM％\wecistre.exe

五、如果用户收到如下信息，不要上当；如果感染上述病毒，杀毒后请一定升级IE到最新版本。
信息为：

“http://www.***boxmm.com 这里有我的照片，你可以进去看看！”
“http://www.***21kd.com 细说××××××，激情电影在线收看...”
“http://www.***aogo.net 上次看了个网站不错，去看看吧！”
“朋友，快到 http://www.21kd.com 看点刺激的！”
“http://www.***boxmm.com 快看啊，我最近照的照片~ 才扫描到网上的，看看我是不是变了样？”
“http://Goitx.***yeah.net 刚刚朋友给我发来的这个东东，你不看看就后悔哦，嘿嘿。也给你的朋友吧。”
“http://www.***21kd.com ×××××××××总汇(DVD高速下载)!!!”
“http://www.***21kd.com 成人论坛！未满十八岁都请勿入！！！”
“HoHo~~ http://Goitx.***yeah.net 有此软件，让收费影视网站见鬼去”
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2003-11-20

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有