基本介紹
- 外文名:Win32.Troj.QQmsgflash2
- 類型:木馬
- 分類:病毒
傳播方式,具體行為,
傳播方式
即便是用戶已經打過IE的漏洞補丁,病毒也會採用欺騙方式引誘用戶下載。該木馬還會竊取用戶系統中的遊戲密碼,並通過區域網路的已分享資料夾傳播。
具體行為
1、在進行QQ聊天時會在訊息中加入信息。
2、當瀏覽帶毒網站時,會利用IE漏洞,嘗試新增sys檔案和tmp檔案的執行關聯,並下載執行病毒檔案 b.sys,如果IE已經打上補丁,則會彈出一個外掛程式對話框,引誘用戶安裝,安裝後會將自己安裝到 %Windows%Downloaded Program Files 資料夾中,檔案名稱為"b.exe",如果用戶拒絕安裝該外掛程式,會不斷彈出對話框要求用戶安裝。
3、複製檔案
A、複製病毒體到 %SystemRoot% 資料夾中,檔案名稱為"Rundll32.exe";
C、試圖複製病毒體到已分享資料夾。
4、添加註冊表啟動項,以隨機啟動
在註冊表的主鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加以下鍵值
"LoadPowerProfile"="%SystemRoot%Rundll32.exe"
5、修改和新增以下檔案關聯
A、修改.exe檔案的關聯,每當執行exe檔案時,即首先執行病毒預先複製的病毒檔案。
在註冊表的主鍵:
HKEY_CLASS_ROOT\exefile\shell\open\command
修改如下鍵值:
默認="C;\cmd.exe %1 &*"
B、新增.sys檔案的執行關聯,使得在瀏覽帶毒網站時執行病毒檔案 b.sys
在註冊表的主鍵:
HKEY_CLASS_ROOT\sysfile\shell\open\command
修改如下鍵值:
默認="""%1"" %*"
C、新增.tmp檔案的執行關聯
在註冊表的主鍵:
HKEY_CLASS_ROOT\tmpfile\shell\open\command
修改如下鍵值:
默認="""%1"" %*"
6、試圖偷密碼,並通過自帶的郵件引擎信箱中。
7、在Win2000、WinXP、Win2003系統中,系統檔案"Rundll32.exe"就在系統目錄中,因而病毒會嘗試將該檔案覆蓋,但這幾個系統都能自動保護並恢復受到破壞的系統檔案,因而病毒不能正常載入,但仍可以通過EXE關聯被載入.
