是一種IM軟體QQ盜號木馬2003年4月8日,瑞星全球反病毒監測網在國內率先截獲“QQ木馬”病毒的一個最新變種,並將之命名為:“QQ木馬變種(Trojan.QQpass7)”。該病毒除了盜取用戶的QQ密碼外,還能與外部黑客程式溝通,導致用戶計算機的信息被泄密。最重要的是該病毒會在硬碟上的所有資料夾中都拷貝一份病毒複本,浪費大量硬碟空間,並且,該病毒還會利用啟動光碟的技術,在每個分區的根目錄下建立一個名為:autorun.ini的檔案,只要用戶查看被感染分區,病毒就會立即運行。
基本介紹
- 外文名:Trojan.QQpass7
- 特色:使用aspack壓縮.
- 警惕程度::★★★★
- 病毒類型::木馬病毒
WINDOWS下的PE病毒(2),Trojan.QQpass7,Trojan.QQpass7.enc,病毒的發現與清除,
WINDOWS下的PE病毒(2)
Trojan.QQpass7
該病毒遍歷盤符為c:到y:的硬碟目錄,在每一個目錄中放一個病毒的複本檔案名稱為隨機,除c:的其它盤根目錄下放置一個autorun.ini檔案,以達到用戶點擊該盤圖示時啟動病毒的目的。病毒還在註冊表run項中增加自己的鍵值修改ini,reg,scr,exe,txt,chm的檔案關聯. 病毒運行後將間隔一小段時間修改一次註冊表,以保證自己的修改沒被更改。
Trojan.QQpass7.enc
警惕程度:★★★★
發作時間:隨機
病毒類型:木馬病毒
傳播方式:網路
依賴系統: Win9X/NT/2000/XP
感染對象:硬碟資料夾、硬碟中的exe檔案
病毒的發現與清除
如果用戶發現計算機中有這些特徵,則很有可能中了此病毒,可以按照下面所說的方法手工清除“QQ木馬變種(Trojan.QQpass7)”病毒。
1. 該病毒會在C糟根目錄下建立一個名:DebugFi.txt的檔案,可以直接將該檔案刪除。
2. 該病毒會利用自啟動光碟技術,在每一個硬碟分區下建立一個名為:autorun.ini的檔案,可以直接將該方件刪除。
3. 該病毒會搜尋硬碟的C-Y分區,在找到的每一個資料夾中都放入一個隨機命名的病毒複本,用戶可以查看一下經常接觸的目錄,看是否有新產生的可疑檔案,如果可以確認該檔案的來源,則可以直接將該病毒檔案刪除,如果不能確認,則最好用相關防毒軟體的最新版本進行清除。
4. 病毒會修改註冊表中的:HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun項,創建指向病毒路徑的鍵值,鍵值與路徑不定,熟悉註冊表的用戶可以用REGEDIT等註冊表編輯工具進行查看,看是否有可疑鍵值,如果有可以直接將該鍵值刪除,以防止病毒自啟動。
用戶如果發現上述情況該很有可能是中了“QQ木馬變種(Trojan.QQpass7)”病毒,可以按照上述方法手工清除該病毒。
5、直接將硬碟內檔案隔離備份至移動硬碟或其他電腦,進行防毒後,格式化硬碟,再將備份導入。
用戶如果想徹底清除該病毒,也可以採用瑞星防毒軟體2003版或瑞星線上防毒服務進行清除, 對於有區域網路的企事業單位,最好採用網路版進行全網監控與全網防毒。
