Win32.Troj.QQRobber.252037

病毒别名： 处理时间：2006-08-11 威胁级别：★

中文名称： 病毒类型：木马影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是个QQ木马生成器,可以让使用者选择生成的木马.

这是个QQ木马生成器,可以让使用者选择生成的木马.

生成的木马主要行为如下:

1. 将自身复制到 %system% 下的 svohost.exe 中,并设置为隐藏属性.

2. 创建键 HKLMSoftwareMicrosoftWindowsCurrentVersionRunSoundMam, 键值为 病毒复制体路径,并不停的生成该键以防被修改.

3. 修改键 HKLMsoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowallCheckedValue ,改后键值为0,来隐藏自己.

4. 关闭在运行的安全软件.

5. 创建以下互斥量，以阻止安全软件运行.

KingsoftAntivirusScanProgram7Mutex

SKYNET_PERSONAL_FIREWALL

ASSISTSHELLMUTEX

AntiTrojan3721

6. 删除一下键值来阻止安全软件自启动.

HKLMSoftwareMicrosoftWindowsCurrentVersionRunRavTask

HKLMSoftwareMicrosoftWindowsCurrentVersionRunKvMonXP

HKLMSoftwareMicrosoftWindowsCurrentVersionRunyassistse

HKLMSoftwareMicrosoftWindowsCurrentVersionRunYLive.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRunKAVPersonal50

HKLMSoftwareMicrosoftWindowsCurrentVersionRunJQbkgu

7. 如果在生成服务器端时选择了关闭QQ则在规定时间到达时关闭QQ.

8. 截获用户QQ帐号和密码按照生成服务器端时的设定来发送出去(发送到指定邮箱或网站).