Win32.PSWTroj.QQPass.b是一種這是個盜取用戶QQ帳號的電腦木馬病毒,並能通過移動介質傳播。主要影響Win 9x/ME,Win 2000/NT,Win XP,Win 2003系統。
基本介紹
- 中文名:Win32.PSWTroj.QQPass.b
- 病毒類型:木馬
- 病毒行為:將自身複製到
- 處理時間:2006-12-06
病毒行為:
1、將自身複製到 %WINDOWS%\CTFMON.exe 並執行,釋放檔案 %WINDOWS%\vmmreg.dll,並將這兩個檔案設定為系統和隱藏屬性。
2、檢測軟碟機,如果存在,則將自身複製為:A:\重要檔案.exe
3、將自身複製為除C糟的其它盤根目錄下的檔案:ravmon.exe,並創建檔案autorun.inf,使用戶雙擊打開該盤時就運行病毒,檔案內容如下:
[AutoRun]
Open=ravmon.exe
4、修改以下註冊表項:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\SyncMode5 0x3
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun 0x95
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\CDRAutoRun 0x0
5、添加啟動項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon "C:\WINDOWS\ctfmon.exe"
6、當檢測到QQ運行時刪除QQ鍵盤保護檔案 npkcrypt.sys 。
