Win32.PSWTroj.QQ.df是個盜取用戶QQ號的木馬。
基本介紹
- 中文名:Win32.PSWTroj.QQ.df
- 處理時間::2006-12-06
- 威脅級別::★
- 病毒類型::木馬
影響系統,行為分析,
影響系統
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
行為分析
1、將自身複製為 %system%\SVOHOST.exe並執行,釋放檔案 %system%\winscok.dll,並將這兩個檔案設定為隱藏和系統檔案屬性。
2、嘗試在每個?>硬碟分區下生成檔案 autorun.inf 和病毒複製體 sxs.exe,並設定其為系統和隱藏檔案屬性,使用戶雙擊打開硬碟時自動執行病毒體sxs.exe。autorun.inf內容如下:
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
3、創建自啟動註冊表項:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SoundMam "%system%\SVOHOST.exe"
4、嘗試查找並關閉含以下字元串的視窗:
QQKAV
網鏢
木馬
防毒
噬菌體
QQAV
TKillqqvir
sc.exe、cmd.exe、net.exe、sc1.exe、net1.exe、PFW.exe、Kav.exe、KVOL.exe、KVFW.exe、TBMon.exe、kav32.exe、
kvwsc.exe、CCAPP.exe、EGHOST.exe、KRegEx.exe、kavsvc.exe、VPTray.exe、RAVMON.exe、EGHOST.exe、KRegEx.exe、
kavsvc.exe、VPTray.exe、KRegEx.exe、KavPFW.exe、SHSTAT.exe、RavTask.exe、TrojDie.kxp、Iparmor.exe、MAILMON.exe、
MCAGENT.exe、KAVPLUS.exe、RavMonD.exe、Rtvscan.exe、Nvsvc32.exe、KVMonXP.exe、Kvsrvxp.exe、CCenter.exe、
KpopMon.exe、RfwMain.exe、KWATCHUI.exe、MCVSESCN.exe、MSKAGENT.exe、kvolself.exe、KVCenter.kxp、kavstart.exe、
RAVTIMER.exe、RRfwMain.exe、FireTray.exe、UpdaterUI.exe、KVSrvXp_1.exe、RavService.exe
6、刪除以下與安全軟體相關的啟動項:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RavTask
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KvMonXP
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\YLive.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yassistse
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NTdhcp
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winhoxt
7、嘗試停止並關閉以下服務:
KVWSC
KVSrvXP
kavsvc
RsRavMon
RsCCenter
8、當檢測到QQ運行時刪除QQ的鍵盤保護檔案npkcrypt.sys。
9、創建三個訊息鉤子,查找QQ登入視窗,獲得用戶帳號信息後傳送到指定的網站和信箱。