一、 病毒标签:病毒名称: Trojan-PSW.Win32.QQPass.ayt
病毒类型: 木马
|
文件大小 :
|
100864 byte
|
|
文件类型 :
|
MS-DOS executable (EXE), OS/2 or MS Windows
|
|
MD5 :
|
e5469a59212da0287e515b54d7a1728e
|
|
SHA1 :
|
d0c2c4b0f998bc581acdedeb234d87c112dbbee4
|
公开范围: 完全公开危害等级: D开发工具: Microsoft Visual Basic 5.0 / 6.0
加壳类型: ASPack 2.12 -> Alexey Solodovnikov壳命名对照:
|
VBA32
|
3.12.6.6
|
20080514.0257
|
2008-05-14
|
Trojan-PSW.Win32.QQPass.ayt
|
2.457
|
二、 病毒描述:
该病毒为盗号木马,运行后释放文件至系统文件夹,并盗取用户的密码等敏感信息。
三、 行为分析:
添加启动项目:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows "run"
Type: REG_SZ
Data: C:\WINDOWS\system32\QQ.exe
该病毒通过VB编写,伪装成QQ程序:
运行后修改了以下系统文件:
c:\WINDOWS\system.ini
释放
c:\WINDOWS\taskmgr.exe
解决方案:
删除文件:
c:\WINDOWS\taskmgr.exe
C:\WINDOWS\system32\QQ.exe
修改文件system.ini,将load=F:\WINDOWS\system32\QQ.exe这一句删除
删除注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows "run"
Type: REG_SZ
Data: C:\WINDOWS\system32\QQ.exe
您的位置: