Trojan/Win32.QQPass.fww[stealer]為QQ釣魚惡意外掛程式木馬,病毒運行後動態創建假QQ系統訊息視窗,遍歷進程查找QQ.exe進程,查找QQ的托盤圖示的句柄,打開explorer.exe的進程的系統托盤圖示,添加註冊表啟動項,達到開機啟動目的,衍生win.ini檔案到%Windir%目錄下,該文本用來存放加密的網站信息及當前更新版本信息,隱藏開啟iexplore.exe進程連線網站記錄統計信息,查找IE視窗標題,判斷是否處理活動狀態,如果則向該窗體傳送關閉訊息,動態運行假QQ系統訊息托盤圖示,遍歷進程查找部分安全軟體進程,找到進程後強行結束安全軟體進程,並添加映像劫持、劫持多款安全軟體進程,修改hosts檔案、添加域名劫持,使用attrib將檔案屬性設定為系統檔案、並設定為隱藏,該病毒運行後在桌面右下角出現閃動視窗,當用戶點擊後,顯示騰訊訊息提示用戶中獎信息!當用戶點擊詳情後連線一個網址要求用戶輸入中獎驗證碼驗證、欺騙用戶辦理匯款手續領取現金從中謀利。
基本介紹
- 中文名:Trojan/Win32.QQPass.fww[stealer]
- 類型:木馬
- 公開範圍:完全公開
- 檔案長度:47,388 位元組
病毒信息,清除方案,
病毒信息
病毒名稱: Trojan/Win32.QQPass.fww[stealer]
病毒類型: 木馬
檔案 MD5: 6155E2A6124D464090A5995CC10BCC5E
公開範圍: 完全公開
危害等級: 4
檔案長度: 47,388 位元組
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0-7.0[Overlay]
加殼類型: WinUpack 0.39 final -> By Dwing
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL管理工具,“進程管理“結束以下病毒進程:
iexplore.exe、病毒名.exe
恢複本地hosts檔案
(2) 強行刪除病毒下載的大量病毒檔案
%Windir%\win.ini
(3)刪除病毒添加的註冊表啟動項及劫持的安全軟體項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\qq20009
刪除RUN鍵下的qq20009鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows NT\CurrentVersion\Image File Execution Options\被映像劫持的檔案名稱稱
刪除Image File Execution Options鍵下所有鍵值