Trojan/QQMsg.WhBoy.cm是木馬病毒,通過QQ傳送短訊息的形式,傳送指向病毒的URL連結進行傳播,還傳送傳奇密碼和裝備信息到域名為163.com的信箱。
基本介紹
- 中文名:Trojan/QQMsg.WhBoy.cm
- 病毒長度:56,832位元組
- 病毒類型:木馬
- 影響平台:Win9X/2000/XP/NT/Me/2003
病毒信息,傳播過程,
病毒信息
Trojan/QQMsg.WhBoy.cm
病毒長度:56,832 位元組
病毒類型:木馬
危害等級:*
影響平台:Win9X/2000/XP/NT/Me/2003
傳播過程
1.首先檢查標題為"Xleo"的視窗是否已經打開(用來測定病毒是否已經在運行),如果沒有那么就創建一個名為"Xleo"的視窗。
2.試圖用記事本程式運行 sesnot.exe
3.在系統目錄下生成隱藏檔案:sesnot.exe uddater.exe ssttare.exe
4.修改註冊表:
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
"(default)" = "%System%\sesnot.exe %1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"windows update" = "%System%\uddater.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\ssttare.exe"
5.在System.ini檔案里添加shell=Explorer.exe %System%\ssttare.exe
6.結束進程:Eghost.exe Iparmor.exe
7.關閉標題為RAVMon的視窗。
8.查看是否運行QQ程式,一旦發現目標程式便插入一個指向病毒的URL,通過傳送URL,誘騙用戶點擊,達到下載病毒的目的。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
