Win32.Troj.QQRob.14

Win32.Troj.QQRob.14是一個盜取騰訊QQ密碼的木馬病毒。該病毒表面上號稱“最新刷會員教程”,暗中將自己改名為“NTdhcp.exe”,並複製自己到系統目錄。

基本介紹

  • 中文名Win32.Troj.QQRob.14
  • 外文名:Win32.Troj.QQRob.14
  • 威脅級別:★★
  • 病毒類型:木馬
  • 影響系統:Win9x / WinNT
基本信息,病毒行為,

基本信息

病毒別名:Trojan-PSW.Win32.QQRob.14d[AVP]
處理時間:
中文名稱:

病毒行為

刪除病毒原始檔案,運行病毒的副本。病毒不停的蒐集反病毒軟體信息,關閉眾多的常見反病毒軟體進程,刪除反病毒的啟動項,關閉反病毒
服務,甚至卸載某些反病毒軟體,使得用戶機器的安全性能大大下降。然後將竊取用戶的qq號碼以及密碼,傳送到木馬種植者的信箱。
1.複製自身到系統目錄並改名:
%System32%\NTdhcp.exe
釋放臨時檔案:%systemroot%\Deleteme.bat刪除病毒原始檔案,然後運行%System32%\NTdhcp.exe。
2.關閉眾多的反病毒軟體進程:
FireTray.exe
UpdaterUI.exe
TBMon.exe
SHSTAT.EXE
RAV.EXE
RAVMON.EXE
RAVTIMER.EXE
KVXP.KXP
KVCENTER.KXP
Iparmor.exe
MAILMON.EXE
KAVPFW.EXE
KVFW.EXE
KVMonXP.KXP
KAVPLUS.EXE
KWATCHUI.EXE
KPOPMON.EXE
KAV32.EXE
CCAPP.EXE
MCAGENT.EXE
MCVSESCN.EXE
MSKAGENT.EXE
EGHOST.EXE
KRegEx.exe
TrojDie.kxp
KVOL.exe
kvolself.exe
根據視窗信息關閉進程:
卡巴斯基反病毒單機版
Symantec AntiVirus 企業版
江民防毒軟體 KV2004:實時監視
ZoneAlarm
LockDown
天網防火牆個人版
天網防火牆企業版
噬菌體
刪除反病毒的啟動項:
SoftWare\Microsoft\Windows\CurrentVersion\Run項目下的:
RavMon
RavTimer
KvMonXP
iDuba Personal FireWall
KAVRun
KpopMon
Kulansyn
ccApp
SSC_UserPrompt
MCAgentExe
McRegWiz
MCUpdateExe
MSKAGENTEXE
MSKDetectorExe
VirusScan Online
VSOCheckTask
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
VSOCheckTask
關閉反病毒服務:
RsRavMon
RsCCenter
KVSrvXP
kavsvc
wscsvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
navapsvc
NPFMntor
MskService
FireSvc
McTaskManager
McShield
McTaskManager
McAfeeFramework
甚至卸載某些安全軟體
密碼防盜專家 綜合版
3.修改註冊表,將自己設定為開機運行。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"NTdhcp"="%System32%\NTdhcp.exe"
4.獲取qq視窗,竊取qq號碼和密碼,傳送到木馬種植者的信箱。

相關詞條

熱門詞條

聯絡我們