基本介紹
- 中文名:Trojan.QQMsg.WhBoy.cc
- 病毒大小:69372
- 傳播方式:網路傳播
- 危害程度:★★
病毒描述,感染過程,病毒發展趨勢,
病毒描述
Trojan.QQMsg.WhBoy.cc利用QQ聊天工具進行傳播,定時給QQ網友傳送包含網址的信息來誘使用戶點擊,該網頁利用了IE的Object Data漏洞下載並運行病毒本身,該漏洞是由HTML中OBJECT的DATA標籤引起的。對於DATA所標記的URL,IE會根據伺服器返回的HTTP頭來處理數據。如果HTTP頭中返回的URL類型Content-Type是Application/hta,那么該URL指定的檔案就能夠執行,無論IE設定的安全級別有多高。病毒運行後,會給用戶的QQ網友傳送同樣的信息,盜取傳奇密碼並以郵件形式發給盜密碼者,並且結束多種反病毒軟體,以保護自身不被清除。
感染過程
(1)病毒運行後將創建下列檔案:
%Systemdir%\system32.exe, 63972位元組
%Systemdir%\windows.exe, 63972位元組
%Systemdir%\microsoft.exe, 63972位元組
%program files%\tencent\qq\ad\gif4.0, 25900位元組
(2)修改註冊表:
/在註冊表中添加下列啟動項:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"windows update" = %SystemDir%\microsoft.exe
在Windows啟動時,病毒就可以自動執行。
/修改txt檔案關聯:
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
"" = c:\windows\system\system32.exe %1
用戶打開任何txt檔案,都會再次運行病毒程式。
(3)每隔一段時間給QQ網友傳送信息:
例1:你剛才說什麼?等等先,我先看完這個網站上的動畫,太好看了,呵呵,你也可以來看看,沒病毒的http://www.******fei.com
例2:你在做什麼呢?知道我現在在看什麼嗎?哈哈,我在看這個圖片,超級經典的,你看看http://www.*****fei.com
例3:給你一個網站,這個是我自己發的,不是什麼尾巴的,你說說看,還有什麼比這上面的畫的世界更美好http://www.*****fei.com
(4)病毒會在計算機中搜尋傳奇遊戲的帳戶、密碼以及其他信息,傳送到指定的E-Mail信箱。
病毒發展趨勢
武漢男生病毒發展趨勢:近期該病毒變種很多,幾乎每天都能收到用戶上報最新樣本。該病毒早期版本只是簡單的傳送一個網頁,增加該網頁的瀏覽量,但是隨著病毒自身的改進,逐步增加了盜取傳奇等遊戲或者偷竊QQ密碼功能,並且會針對反病毒軟體進行自身的保護,殺死反病毒軟體
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%program files%一般為C:\promgram filees;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
