rojan.PWS.QQPass.gKb6木馬病毒能夠偷取用戶的密碼信息。此病毒是運用Visual Basic語言編寫的,其長度為123,392位元組。此病毒感染安裝有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me作業系統的計算機,而不會感染安裝有Windows 3.x, Macintosh, Unix, Linux作業系統的計算機。
基本介紹
- 外文名:Trojan.PWS.QQPass.gKb6
- 發現日期:2002-10-14
- 病毒類型:木馬病毒
- 傳播範圍:低
- 危害級別:低
- 傳播速度:低
病毒介紹,解決方案,
病毒介紹
1.此木馬病毒一旦被激活並開始運行,它將終止下列程式的運行:
Kav9x.exe
Smenu.exe
Ravmon.exe(僅限在Windows NT 4.0操作環境中)。
2.此病毒會將檔案%windir%\Notepad.exe更名為%windir%\Mspad.exe。
3.此病毒會將其本身複製到下列檔案中:
%windir%\Eudcedit.exe
%windir%\Freecell.exe
%windir%\Kaedit.exe
%windir%\Msscr.exe
%windir%\Notepad.exe
%system%\Mstray.exe。
其中:%windir%和%system%是變化的,此木馬病毒會自動尋找機器上的系統目錄,並將自身複製到系統目錄下,即:
C:\Windows\System (Windows 95/98/Me)
C:\Winnt\System32 (Windows NT/2000)
C:\Windows\System32 (Windows XP)。
4.此病毒能夠生成鍵值:
SystemKav %system%\MSTRAY.EXE
到註冊表編輯器:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中,使得機器啟動時病毒就會自動運行。
5.此病毒會對註冊表編輯器中下列各項默認鍵值進行更改:
(1)HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\regfile\shell\open\command的默認鍵值改為:
(Default) %windir%\KAEDIT.EXE %1。
(2)HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\scrfile\shell\open\command的默認鍵值改為:
(Default) %windir%\MSSCR.EXE %1。
(3)HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\chm.file\shell\open\command的默認鍵值改為:
(Default) %windir%\MSSCR.EXE %1。
6.此病毒開始執行後可以做下列活動:
(1)重新啟動計算機
(2)打開註冊檔案
(3)執行螢幕保護程式
(4)打開系統幫助檔案。
解決方案
1.及時升級防毒軟體,之後認真在整個硬碟上查殺此病毒,徹底清除掉查到的Trojan.PWS.QQPass.gKb6木馬病毒。
2.到註冊表編輯器:
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中將鍵值:
SystemKav %system%\MSTRAY.EXE清除。
(2)HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\regfile\shell\open\command中將默認鍵值:
(Default) %windir%\KAEDIT.EXE %1清除。
(3)HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\scrfile\shell\open\command中將默認鍵值:
(Default) %windir%\MSSCR.EXE %1清除。
(4)HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\chm.file\shell\open\command中將默認鍵值:
(Default) %windir%\MSSCR.EXE %1清除。
