Trojan-PSW.Win32.QQPass.ak

該病毒屬木馬類,病毒運行後會複製原副本到%WINDOWS%\intrenat.exe,病毒會遍歷系統的當前進程,若存在“傳奇”進程(與其他病毒同流合污造成),則會釋放病毒相關檔案%WINDOWS%\exp1orer.dll,竊取該遊戲賬號及密碼,若存在某些反病毒及安全軟體的進程,病毒便嘗試將其終止。

弱點:它不會結束RavTask(瑞星系統列監視進程)以及360rp(新出的360防毒,病毒不認識)。

基本介紹

  • 中文名:Trojan-PSW.Win32.QQPass.ak
  • 病毒類型:木馬
  • 危害等級:中
  • 檔案長度:29,696 位元組
病毒簡介,行為分析,清除方案,

病毒簡介

病毒名稱: Trojan-PSW.Win32.QQPass.ak
病毒類型: 木馬
檔案 MD5: 23F52D6300A00274B8C28B17AA8783D9
公開範圍: 完全公開
危害等級: 中
檔案長度: 29,696 位元組
感染系統: Windows 98 及以上版本
開發工具: Microsoft Visual C++
加殼類型: UPX
命名對照: Symentec[無]
Mcafee[無]
Rising[Trojan.PSW.Win32.QQPass.ak]
別名:qq通行證

行為分析

1、複製原病毒副本到:%WINDOWS%\intrenat.exe
釋放病毒相關檔案:%SYSTEM%\WinSocks.dll
%WINDOWS%\exp1orer.dll
2、修改註冊表檔案
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
鍵值:字串:intrenat.exe
HKEY_LOCAL_METHINE\\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
鍵值:字串:intrenat.exe
並嘗試停止以下服務:
Rising Realtime Monitor Service
NAV Auto-Protect
3、遍歷系統當前進程,嘗試終止以下反病毒及安全軟體:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
RAVTIMER.EXE
RAVMON.EXE
CCENTER.EXE
NAVAPW32.EXE
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

1、使用安天木馬防線、IcesWord可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線進程管理”關閉病毒進程:
intrenat.exe
(2) 刪除病毒檔案:
%WINDOWS%\intrenat.exe
%SYSTEM%\WinSocks.dll
%WINDOWS%\exp1orer.dll
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
鍵值:字串:intrenat.exe
HKEY_LOCAL_METHINE\\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
鍵值:字串:intrenat.exe

相關詞條

熱門詞條

聯絡我們