TrojanClicker.Clickaire.c

Trojan/QQMsg.QQTail.b記錄用戶敲擊鍵盤信息並進行加密,首先將其保存在檔案中,然後自動把該加密檔案及被感染計算機的IP位址傳送到由黑客指定的郵件地址。

基本介紹

  • 軟體名稱:TrojanClicker.Clickaire.c
  • 軟體大小:不定
  • 病毒類型木馬
  • 影響系統:Win9X/2000/XP/NT/Me
基本信息,操作,相近的病毒,

基本信息

TrojanClicker.Clickaire.c更改IE默認頁、搜尋頁使其連線到一些色情網站。

操作

此病毒一旦運行,有如下操作:
1.生成檔案Excel10.dll,系統不同,路徑不同:
Windows 95/98/Me:
C:\Windows\Application Data\Microsoft\Office\Excel10.dll
Windows NT/2000/XP:
C:\Documents and Settings\<user name>\Application Data\Microsoft\Office\Excel10.dll
並註冊為瀏覽器的幫助對象,且IE需要4.0以上的版本。
2.修改主機檔案使其指向特定的網站。
3.在註冊表HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下添加Local Page="http:/ /www點idgsearch點com/"
Search Page="http:/ /www點idgsearch點com/"
Search Page_bak="http:/ /www點idgsearch點com/"
SearchURL="http:/ /www點idgsearch點com/"
Start Page="http:/ /www點idgsearch點com/"
Start Page_bak="http:/ /www點idgsearch點com/"
Search Bar="http:/ /www點2020search點com/search/9884/search點html"鍵值。
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search下添加CustomizeSearch="http:/ /www點idgsearch點com/"
SearchAssistant="http:/ /www點2020search點com/search/9884/search點html"鍵值。
4.在註冊表下創建如下鍵:
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\SearchWord.ExcelExport
HKEY_CLASSES_ROOT\SearchWord.ExcelExport.1
HKEY_CLASSES_ROOT\TypeLib\
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{17DA0C9E-4A27-4ac5-BB75-5D24B8CDB972
HKEY_LOCAL_MACHINE\Software\CLASSES\Interface\
HKEY_LOCAL_MACHINE\Software\CLASSES\SearchWord.ExcelExport
HKEY_LOCAL_MACHINE\Software\CLASSES\SearchWord.ExcelExport.1
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\
Browser Helper Ojects\
5.搜尋下列檔案,一旦發現立即刪除:
Bootconf.exe Browserhelper點dll Ctfmon32.exe Default.css
Dnse.dll Dnserr點dll Dnsrelay點dll Dreplace.dll
Iedll.exe Ld.exe Loader.exe Msspi點dll Mssys.exe
My.css Svc點exe Svchost32點exe Svcinit點exe
Svcpack點exe Sys點reg Winlink點dll
Winshow.dll Xplugin點dll\Fonts\Msoffice點hta \Temp\Addclass點exe
\Web\oslogo.bmp \Web\win.def \Winshow\Winshow點dll
6.刪除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce下的nvstart
7.刪除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的AddClass CTFMON32.EXE iedll Internat Conf loader
Msoffice mssys nvstart svc svchost.exe sys
sysPnP Tapicfg.exe等。

相近的病毒

Trojan/QQMsg.QQTail.b
病毒長度:不定
病毒類型:木馬
影響系統:Win9X/NT/2000/XPMe
木馬一旦在系統中運行,便有如下操作:
1.拷貝自身到系統目錄下,檔案名稱為Kern32.exe。
2.在系統目錄下置入Hksdll.dll檔案。
3.在註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce下添加"kernel32"="C:\%System%\kern32.exe"鍵值,以便使木馬在每次系統啟動後自動運行。

熱門詞條

聯絡我們