Trojan-PSW.Win32.QQDragon.bl

該病毒屬木馬類,病毒圖示為文本文檔圖示,用以迷惑用戶點擊運行。病毒運行後複製自身到%windir%下,且檔案名稱為services.exe,與系統檔案%system32%\services.exe的名相同,在任務管理器中利用用戶名來區分,病毒複製自身到所有非隱藏資料夾中,病毒名隨機建立;修改註冊表,添加七處啟動項,以達到隨機啟動的目的;訪問網路,打開含有病毒的網站;修改Internet Explorer主頁,用戶打開Internet Explorer時會自動登入到含有病毒的網站。

基本介紹

  • 外文名:Trojan-PSW.Win32.QQDragon.bl
  • 病毒類型:木馬
  • 公開範圍:完全公開
  • 危害等級 :中
簡介,病毒描述,行為分析,清除方案,

簡介

病毒名稱: Trojan-PSW.Win32.QQDragon.bl
檔案 MD5: A0FD84459E5751BDB75CD5CC7D409E69
檔案長度:32,768 位元組
感染系統: windows98以上版本
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼類型: 無
命名對照: Symentec[Infostealer]
Mcafee[無]

病毒描述

由於病毒在所有非隱藏資料夾中都建立一個病毒體,所以建議用戶在防毒時用反病毒軟體進行全盤掃描,以徹底清除病毒。

行為分析

1、病毒運行後複製自身到%windir%下,且檔案名稱為services.exe,複製自身到所有非隱藏資料夾中,病毒名隨機建立:
%windir%\services.exe
2、修改註冊表,添加七處啟動項,以達到隨機啟動的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows\Run
鍵值: 字串: "C:\WINDOWS\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\services
鍵值: 字串: "C:\WINDOWS\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Runservices\
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Runservices\services
鍵值: 字串: "C:\WINDOWS\services.exe"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
\ie2007\5.0\Lock_Url
鍵值: 字串: "http://www.ahaoz.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\services
鍵值: 字串: "C:\WINDOWS\services.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Runservices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Runservices\services
鍵值: 字串: "C:\WINDOWS\services.exe"
3、修改Internet Explorer主頁:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
\Main\Start Page
新建鍵值: 字串: "http://www.ahaoz.com"
原鍵值: 字串: "http://www.baidu.com/"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
\Main\Start Page
新建鍵值: 字串: "http://www.ahaoz.com"
原鍵值: 字串: http://www.microsoft.com/isapi/redir.dll?
prd={SUB_PRD}&clcid= {SUB_CLSID}&pver={SUB_PVER}&ar=home
4、訪問網路:
協定:TCP
IP:58.60.249.29:80
本地連線埠:隨機開啟本地1024以上連線埠,如:1158
域名:http://www.ahaoz.com/money01.htm
URL連線:http://www.71game.com/money.htm
5、由於病毒在所有非隱藏資料夾中都建立一個病毒體,所以建議用戶在防毒時用反病毒軟體進行全盤掃描,以徹底清除病毒。
註:% windir%是一個可變路徑。病毒通過查詢作業系統來決定當前windows資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt,windows95/98/me/xp中默認的安裝路徑是C:\Windows。

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線進程管理”關閉病毒進程
(2) 刪除病毒檔案
%windir%\services.exe
所有非隱藏資料夾下的病毒檔案
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows\Run
鍵值: 字串: "C:\WINDOWS\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\services
鍵值: 字串: "C:\WINDOWS\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Runservices\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Runservices\services
鍵值: 字串: "C:\WINDOWS\services.exe"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ie2007
\5.0\Lock_Url
鍵值: 字串: "http://www.ahaoz.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\services
鍵值: 字串: "C:\WINDOWS\services.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Runservices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Runservices\services
鍵值: 字串: "C:\WINDOWS\services.exe"
恢復註冊表原鍵值:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
\Main\Start Page
新建鍵值: 字串: "http://www.ahaoz.com"
原鍵值: 字串: "http://www.baidu.com/"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
\Main\Start Page
新建鍵值: 字串: "http://www.ahaoz.com"
原鍵值: 字串: http://www.microsoft.com/isapi/redir.dll?
prd={SUB_PRD}&clcid= {SUB_CLSID}&pver={SUB_PVER}&ar=home

相關詞條

熱門詞條

聯絡我們