影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003。
基本介紹
- 外文名:Win32.Troj.QQMsgBook.ak
- 處理時間 :2005-10-10
- 威脅級別 :★
- 中文名稱 :書蟲變種
- 病毒類型:木馬
基本信息,病毒行為,
基本信息
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
該病毒是一個通過QQ傳播的木馬。用戶跟好友聊天時,該病毒會強制傳送訊息給其他好友,誘使他人下載運行。該病毒還會修改用戶主頁,複製多個樣本存放在不同目錄,添加啟動項等。給QQ用戶帶來不便與誤會。
1,生成檔案
%system32%\js8xhp5.dll(隨機命名)
%system32%\sfdymj.sys(隨機命名)
%windows%\system\EXPL0RA.EXE
%windows%\system\N0TEPAD.EXE(注意檔案名稱中圈圈是"零"不是"歐")
%windows%\N0TEPAD.EXE(注意檔案名稱中圈圈是"零"不是"歐")
%system%\N0TEPAD.EXE(注意檔案名稱中圈圈是"零"不是"歐")
%windows%\system\windll.dll
%windows%\system\win.dll
2,添加註冊表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GOOD05
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GOOD05
"ImagePath" = "\??\C:\WINNT\System32\sfdymj.sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"EXPL0RA.EXE" = "%windows%\system\EXPL0RA.EXE"
3,修改註冊表
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"
HKEY_CLASSES_ROOT\txtfile\shell\open\command
"default" = "N0TEPAD.EXE %1"
4,傳送QQ訊息內容
好啊,今天在網上下了本電子書,書名叫《緣》,寫得很不錯,而且書作者的名字也很巧,跟你的QQ網名一樣,也叫***。不會就是你寫的吧?挺有才的嘛,寫得不錯,下載看看吧!點擊下面這個地址可以下載這本書:
http://1**i.com/b***1.exe
5,用戶打開ie瀏覽器,病毒監控連向指定站點
http://www.18hi.com/index.htm
http://www.19ku.com/index.html
http://www.51115.com/index.html等
及一個黃色網頁
http://www.soft-down.com/21.htm
