Win32.PSWTroj.QQ.dgt

病毒行為

1、將自身複製為 %system%\SVOHOST.exe並執行,釋放檔案 %system%\winscok.dll,並將這兩個檔案設槳嘗戶置為隱藏和系統檔案屬性。

2、在除C糟的每個硬碟分區下生成檔案 autorun.inf 和病毒複製體 SHE.exe,並設定其為系統和隱藏檔案屬性。autorun.inf內容如下：

[AutoRun]

open=SHE.exe

shellexecute=SHE.exe

shell\Auto\command=SHE.exe

3、修改敬禁說白夜故註冊表項，使用戶雙擊打開硬碟時自動執行病毒體SHE.exe。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoDriveTypeAutoRun"=dword:bd

4、創建自啟動註冊表項

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SoundMam "%system%\SVOHOST.exe"

HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\%system%\SVOHOST.exe "SVOHOST"

5、嘗試調用net.exe和sc.exe來停止並關閉以下服務：

srservice

sharedaccess

KVWSC

KVSrvXP

kavsvc

RsRavMon

RsCCenter

6、勸辨擔嘗試獲取"瑞星提示"視窗和"是"按鈕，並傳送按鈕點擊訊息，以此來躲避瑞星的監控。

7、嘗試查找並關閉含以下字元串的視窗：

QQKAV

防火牆

網雄牛設紙鏢

木馬

防毒

金山毒霸

噬菌體

QQAV

QQKav

TKillqqvir

8、嘗試關閉以下系統進程及與安全軟體相關的進程：

sc.exe、net.exe、sc1.exe、net1.exe、PFW.exe、Kav.exe、KVOL.exe、KVFW.exe、TBMon.exe、kav32.exe、kvwsc.exe、CCAPP.exe、EGHOST.exe、KRegEx.exe、kavsvc.exe、VPTray.exe、RAVMON.exe、EGHOST.exe、KavPFW.exe、SHSTAT.exe、regedit.exe、RavTask.exe、TrojDie.kxp、Iparmor.exe、MAILMON.exe、MCAGENT.exe、KAVPLUS.exe、RavMonD.exe、Rtvscan.exe、Nvsvc32.exe、KVMonXP.exe、Kvsrvxp.exe、CCenter.exe、KpopMon.exe、RfwMain.exe、regedit.exe、KWATCHUI.exe、MCVSESCN.exe、MSKAGENT.exe、kvolself.exe、KVCenter.kxp、kavstart.exe、RAVTIMER.exe、RRfwMain.exe、FireTray.exe、UpdaterUI.exe、KVSrvXp_1.exe、RavService.exe

9、刪除以下與安全軟體相關的啟動項：

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RavTask

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KvMonXP

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\YLive.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yassistse

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NTdhcp

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winhoxt

10、當檢測到QQ運行時刪格騙除QQ的鍵盤保護檔案npkcrypt.sys。

11、創建三個訊息鉤子，查找QQ登入視窗挨坑膠求，獲得用戶帳號信息後傳送到指定的網站和信箱。

Win32.PSWTroj.QQ.dgt

基本介紹

相關詞條

熱門詞條