Win32.Troj.TEQQpass,影響系統Win9x / WinNT,盜取QQ密碼的木馬病毒。
基本介紹
- 中文名:QQ密碼特搜
- 外文名:Trojan.PSW.QQpass.6197.a [AVP]
Trojan/QQPass.Winpad [KV]
Trojan.qqkILLER.6.197 [RS] - 別名:Win32.Troj.TEQQpass
- 威脅級別:★★
- 影響系統:Win9x / WinNT
- 病毒類型:木馬
- 病毒行為:盜取QQ密碼的木馬病毒
病毒行為
這是一個盜取QQ密碼的木馬病毒。該病毒採用文本檔案的圖示,非常具有誘惑性,用戶可能會誤以為是一個文本檔案而去運行它,結果導致機器中毒。該病毒將自己的多個副本拷貝到系統目錄,修改scr、chm、reg的檔案關聯,關閉一些常見的反病毒軟體,再將盜取的QQ密碼存放在一個記錄檔案中,最後傳送到黑客指定的信箱。該病毒會導致用戶的QQ號被盜、系統的安全性嚴重下降。
(1)拷貝病毒檔案到:
%SystemRoot%\EUDCEDIT.EXE
%SystemRoot%\FREECELL.EXE
%SystemRoot%\KAEDIT.EXE
%SystemRoot%\MSSCR.EXE
%System%\MSTRAY.EXE
(2)在註冊表中添加啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SystemKAV"="%System%\MSTRAY.EXE"
(3)修改scr、chm、reg的檔案關聯:
HKEY_CLASSES_ROOT\chm.file\shell\open\command "@"="%SystemRoot%\MSSCR.EXE %1"
HKEY_CLASSES_ROOT\regfile\shell\open\command "@"="%SystemRoot%\KAEDIT.EXE %1"
HKEY_CLASSES_ROOT\scrfile\shell\open\command "@"="%SystemRoot%\MSSCR.EXE %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command "@"="%SystemRoot%\MSSCR.EXE %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command "@"="%SystemRoot%\KAEDIT.EXE %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command "@"="%SystemRoot%\MSSCR.EXE %1"
