Win32.Troj.QQRobber.252037
病毒别名: 处理时间:2006-08-11 威胁级别:★
中文名称: 病毒类型:木马影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是个QQ木马生成器,可以让使用者选择生成的木马.
这是个QQ木马生成器,可以让使用者选择生成的木马.
生成的木马主要行为如下:
1. 将自身复制到 %system% 下的 svohost.exe 中,并设置为隐藏属性.
2. 创建键 HKLMSoftwareMicrosoftWindowsCurrentVersionRunSoundMam, 键值为 病毒复制体路径,并不停的生成该键以防被修改.
3. 修改键 HKLMsoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowallCheckedValue ,改后键值为0,来隐藏自己.
4. 关闭在运行的安全软件.
5. 创建以下互斥量,以阻止安全软件运行.
KingsoftAntivirusScanProgram7Mutex
SKYNET_PERSONAL_FIREWALL
ASSISTSHELLMUTEX
AntiTrojan3721
6. 删除一下键值来阻止安全软件自启动.
HKLMSoftwareMicrosoftWindowsCurrentVersionRunRavTask
HKLMSoftwareMicrosoftWindowsCurrentVersionRunKvMonXP
HKLMSoftwareMicrosoftWindowsCurrentVersionRunyassistse
HKLMSoftwareMicrosoftWindowsCurrentVersionRunYLive.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunKAVPersonal50
HKLMSoftwareMicrosoftWindowsCurrentVersionRunJQbkgu
7. 如果在生成服务器端时选择了关闭QQ则在规定时间到达时关闭QQ.
8. 截获用户QQ帐号和密码按照生成服务器端时的设定来发送出去(发送到指定邮箱或网站).