- 听众
- 收听
- 积分
- 2999
- 主题
- 回帖
- 0
- 精华
注册时间2006-7-29
最后登录1970-1-1
该用户从未签到
|
作者:清新阳光
这是一个盗取QQ密码的木马病毒,有一定的反病毒软件作用,病毒主文件采取了带有诱惑性的名称,并且加了很多空格,“意志不坚定”的人很容易中招..
File: 妹,过来给我摸一摸.DVD .exe
Size: 36552 bytes
Modified: 2008年2月4日, 22:54:46
MD5: DEC337911586668E22462583301A72D3
SHA1: 1DD822D8BFFD3A96BFEEBF5C6592FDCD705C4A4F
CRC32: 0839723B
1.病毒初始化过程:
病毒运行后,首先结束如下进程
Txplatform.exe
QQ.exe
360safe.exe
360tray.exe
查找有无:\program files\kaspersky lab\kaspersky anti-virus 7.0\avp.exe文件 且查找有无avp.tray窗口
如果有则把时间往前调,使得卡巴监控失效
2.然后释放如下文件:
%Program Files%\Common Files\Microsoft Shared\MSInfo\atmQQ.dll
3.注册表变化
添加如下键值达到开机加载atmQQ.dll的目的
注册表键: HKCR\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InProcServer32
注册表值: (默认)
类型: REG_SZ
值: %Program Files%\Common Files\Microsoft Shared\MSInfo\atmQQ.dll
atmQQ.dll挂钩WH_GETMESSAGE函数,监控QQ的启动,一旦启动了QQ,便注入到QQ中,盗取QQ密码,并发送出去
之前会联网连接http://www.ip138.com/ip2city.asp的界面查询中毒者IP地址
之后以这样的格式发送QQ号码和密码
QQNumber=* &QQPassword=* &QQClub=* &QQip=* --会员 --地区
4.之后释放一个BT.BAT的批处理删除病毒源文件
5.病毒作者在病毒体内表达了很厌恶卡巴斯基的感情,留下了诸如下面这样的文字:
我要反卡巴
希望杀软不要弄此处
不能更新的软件
不想做了
想认真写代码
我的就是你的
代码如何便宜
你和我的啊呀也
啊啊啊啊
它它它的啊呀呀
数字就是数字
你我他它们呀
我要更新功能代码
我也不想说了
****rac
kkcckabalaji
杀软可以杀这里
特征码在这
编写模式卡巴
更新程序
就事论事的程序
kavrav
马上就好的
噢喔啊啊啊
你和我的啊喔呀
kavuucc
yycckabalaji
免费的卡巴
bcrav
********avp
...
解决方法:
下载sreng:http://www.skycn.com/soft/23312.html#download
重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除如下文件%Program Files%\Common Files\Microsoft Shared\MSInfo\atmQQ.dll
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{D544C22D-1F70-4B1E-873D-D8DABEB26695}> []
之后重启计算机,修改QQ密码
[ 本帖最后由 Simen.Resh@d 于 2008-2-19 10:31 编辑 ] |
|
IP卡
狗仔卡
发表于 2008-2-19 10:29:58
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡