Win32.Troj.QQShou.c

病毒别名：Trojan.PSW.QQShou.c [AVP],Trojan/PSW.Lianhua [KV]

处理时间：

威胁级别：★★★

中文名称：QQ扒手

病毒类型：木马

影响系统：Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

病毒行为:

编写工具:VC++6.0

传染条件:

发作条件:该病毒用jpg文件的图标作为图标,诱骗用户双击图标来运行该病毒(见附图)

系统修改:

1.将病毒自身拷贝到%SystemRoot%winsys.exe

2.在%SystemRoot%下生成一图片temp3.jpg

3.在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

添加键值:"winhelp"="winsys.exe"

4.在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

添加键值:"expler"="winsys.exe"

5.在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun

添加键值:"sdsr"="winsys.exe"

6.在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

添加键值:"HKEYok"="winsys.exe"

7.在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce

添加键值:"Regexit"="winsys.exe"

8.在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce

添加键值:"Rundil32"="winsys.exe"

9.在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices

添加键值:"Rundli32"="winsys.exe"

10.在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun

添加键值:"Rnudll32"="winsys.exe"

发作现象:

1.打开图片temp3.jpg

2.禁用任务管理器,注册表编辑器

3.关闭瑞星杀毒主程序和瑞星实时监控程序

特别说明:在QQ登陆的时候监视用户的输入,并将窃取到的QQ密码发送到指定的邮箱