基本介紹
- 中文名:QQ密探
- 外文名:Win32.Troj.QQNark.a
- 病毒類型:木馬
- 威脅級別:★★★
- 處理時間:2004-05-24
- 病毒行為:qq密探系列
簡介,病毒資料,
簡介
QQ病毒很多,但QQ木馬安全公司還是第一次截獲。傳統的木馬要進行遠程控制必須打開新的連線埠,這樣在網鏢等防火牆中很容易被發現,而Win32.Troj.QQNark(也叫QQ密探或QQ叛徒)通過QQ來進行遠程控制,可以騙過防火牆的監視,所以危險性更大。
木馬客戶端通過向QQ傳送訊息來控制其服務端進行遠程工作,除了一般的上傳、下載、磁碟共享以外,還可以令對方的電腦自動關機或重啟,甚至可以任意終止進程中的程式以及運行更具有破壞性的執行檔。同時此木馬還具有抓屏和自我關閉、卸載等功能。
如果你收到以上含有“wsdgs”字元的訊息,例如“我看看!wsdgs@@0/$s^t&&”(它對應的命令是從染毒機器中下載檔案)、“你好啊!wsdgs@@1234567&&”(它對應的控制為共享C糟)請立刻關閉QQ,下載QQ病毒專殺工具,然後斷開網路進行掃描。
病毒資料
病毒別名:Trojan.QQbot.a[瑞星]
影響系統:Windows 95 Windows 98 Windows ME Windows 2000 Wind
病毒行為:
qq密探系列
編寫工具:
使用delphi編寫,採用ASpack壓縮
傳染條件:
利用QQ,通過網路傳播
發作條件:
系統修改:
1.病毒將修改註冊表,添加"registry" = "%CURBASE%\%CURFILE"到鍵值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun下,這樣病毒就可以隨系統自啟動。
2.病毒通過監視QQ的接收訊息來回響遠程控制端的操作:
病毒可以執行的操作包括:上傳、下載、執行檔案,共享硬碟,關閉、重啟計算機,抓屏並傳送EMail,通過進程名或ID來終止進程的運行,關閉、卸載木馬等。
3.病毒的遠程控制端通過生成相應的QQ訊息來控制其服務端,傳送的訊息跟病毒進行的操作對應如下:
"去看看!wsdgs!!@@iXT 3;lGim OKdrk uLL&&ldUimlw$$"->此傳送的訊息為下載木馬網址;(@@後面是隨機字元)
"我看看!wsdgs@@0/$s^t&&"->此訊息為從染毒機器中下載檔案;
"你好啊!wsdgs@@1234567&&"->此訊息為共享C糟;
"去試試!wsdgs@@iXT 3;lGim OKdrk uLL&&"->此訊息執行檔案;
"當機了?wsdgs"->關機;
"掉線了?wsdgs"->重啟;
"在幹嘛?wsdgs!!"->抓屏並Mail;
"還在啊?wsdgs!!"->列舉進程並Mail;
"怎么了?wsdgs@@1234&&"->關閉進程;
"冷雨打芭蕉"->關閉對方QQ;
"江湖一劍飄"->關閉木馬;
"天涯任逍遙"->卸載木馬;
發作現象:
特別說明:
