這是個盜取用戶QQ賬號的木馬。
1、將自身複製為:%system%\vpcrm.exe,並釋放檔案:%system%\Drivers\usbme.sys。
2、通過查詢註冊表獲得QQ安裝目錄,然後將正常的QQ檔案 TIMPlatform.exe 複製為 TIMPlatfrom.exe,並將自身複製為 TIMPlatform.exe。
3、檢查以下註冊表鍵值是否為默認的正常的鍵值,如果不是則將其修改為默認的正常的鍵值:
基本介紹
- 外文名:Win32.PSWTroj.Mir.faf
- 處理時間:2006-12-06
- 威脅級別:★
- 病毒類型:木馬
病毒別名:
中文名稱: 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
這是個盜取用戶QQ賬號的木馬。
1、將自身複製為:%system%\vpcrm.exe,並釋放檔案:%system%\Drivers\usbme.sys。
2、通過查詢註冊表獲得QQ安裝目錄,然後將正常的QQ檔案 TIMPlatform.exe 複製為 TIMPlatfrom.exe,並將自身複製為 TIMPlatform.exe。
3、檢查以下註冊表鍵值是否為默認的正常的鍵值,如果不是則將其修改為默認的正常的鍵值:
HKCR\exefile\shell\open\command
HKCR\.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load
4、刪除以下註冊表項鍵值:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Shell
5、如果用戶作業系統是NT作業系統則嘗試刪除檔案:%system%\Winlogon.exe,並結束以下進程:
SERVICES.EXE,SMSS.EXE,CSRSS.EXE,WINLOGON.EXE,LSASS.EXE,SVCHOST.EXE,ALG.EXE,TIMPLATFORM.EXE,RUNDLL32.EXE
6、對進程SVCHOST.EXE進行注入。
7、通過獲得QQ遊戲視窗的方式獲取用戶賬號信息並傳送到指定網址。
