Trojan.QQMsg.WhBoy.m.enc

2008-02-23 08:51:22来源：互联网阅读 ()

病毒名称: Trojan.QQMsg.WhBoy.m.enc 类别：木马病毒资料：破坏方法：

这是通过QQ发送诱惑信息导致用户上当的病毒。

一旦执行，病毒将执行如下操作：

1.复制自己到下列目录：

％WINDIR％\INTRENAT.EXE
这是盗取游戏：“传奇”登录信息的木马

％WINDIR％\WINSOCKS.DLL
这个文件与上一个文件是同一个文件

％SYSDIR％\SYSLGOG.EXE 这是病毒自身

％SYSDIR％\SYSNAT.EXE 这是病毒自身

％SYSDIR％\UUDATEE.EXE 这是病毒自身

2.注册自己为服务进程。

3.添加如下值：

"windows update"＝％SYSDIR％\UUDATEE.EXE

到注册表键值：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
Currentversion\RunServices

下，这样病毒就可以随系统自启动修改文本文件关联，使之指向病毒，这样打开任何文本<扩展名为.TXT>时就会运行病毒，其相应的注册表

键值为：

HKEY_CLASSES_ROOT\txtfile\shell\open\command
(默认) : ％SYSTEM％\SYSLGOG.EXE ％1

修改系统文件system.ini，这是病毒自启动的伎俩

SYSTEM.INI
[BOOT]
SHELL = EXPlorer.exe ％SYSTEM％\SYSNAT.EXE

4.通过QQ发送诱惑性信息给在线好友，信息一般为：
“...某某网站不错...”、“...我的照片...”之类
信息混杂在用户发送的信息中，极易造成用户误解，从而导致用户访问此类网站；
而此网站又利用IE漏洞，配置木马在网页中，当用户访问时会自动下载执行木马<未打补丁的系统>

5.建议

如果用户收到类似信息，最好不要连接那个站点或者将IE打上最新补丁才去访问。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-2-17

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有