QQ大盗病毒传播技术分析报告及防范

作者:佚名来源:Linux 宝库点击: 日期:2006-12-23

　　五一回来，忙碌了几天，一直没空更新这个栏目，听说很多网友的QQ被盗，见识到“QQ大盗”的危害性，于是第一天我们来查杀这个可恶的病毒。
　　
　　病毒名称：Trojan/PSW.QQpass.br
　　
　　中文名：“QQ大盗”
　　
　　病毒类型：木马
　　
　　危害等级：★★
　　
　　影响平台：Win 9x/2000/XP/NT/Me/2003
　　
　　“QQ大盗”病毒可以利用IE浏览器mht漏洞，通过利用该漏洞编写的恶意网页代码，自动下载一个网上的chm文件， “QQ大盗”病毒即内嵌其中并开始自动运行。
　　
　　1、该木马程序运行后，将在系统文件夹生成：%SystemDir%\NTdhcp.exe，28400字节。
　　　

　　(图一)
　　
　　并添加注册表项：
　　
　　[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
　　
　　“NTdhcp” = %SystemDir%\NTdhcp.exe
　　
　　这样，在Windows启动时，木马得以自动运行。
　　

　　(图二)
　　
　　2、 “QQ大盗”病毒(Trojan/PSW.QQpass.br)的盗取目标是用户的QQ号、密码和详细的QQ资料信息。
　　
　　“QQ大盗”病毒防范措施：
　　
　　未感染病毒用户：升级杀毒软件(如江民杀毒软件KV2005)病毒库到最新病毒库，开启病毒实监控。将系统打上MHT文件下载执行漏洞补丁程序。
　　
　　微软官方补丁网址：http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
　　
　　已感染病毒的用户：首先需安装正版杀毒软件并升级最新病毒库，对电脑进行全盘查杀。运行REGEDIT注册表编辑器，定位到
　　
　　[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。
　　
　　手工清除办法：
　　
　　首先运行任务管理器，查找并结束掉NTdhcp.exe进程
　　
　　按照病毒文件所在位置System\NTdhcp.exe找到系统目录下的病毒文件，手工删除，。运行REGEDIT注册表编辑器，定位到
　　
　　[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。
　　
　　系统加固办法：
　　
　　1、使用WINDOWS UPDATE功能自动更新系统补丁。
　　
　　2、下载安装MHT文件下载执行漏洞补丁。
　　
　　MHT漏洞官方补丁下载地址：
　　
　　http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
　　2005.5.10

【文章评论】【收藏本文】【推荐好友】【打印本文】【论坛讨论】

·Windows 98 注册表妙用	·中文版Windows XP 的新增功能
·中文版Windows XP 的安装	·Windows XP 中注册表信息的还原
·Windows XP 中置用户的注册表访问权限	·Windows 98 注册表的应用

文章评论:(条)

请留名：匿名评论点击查看所有评论网管论坛

责任编辑:一分声明：刊登此文章是为了传递更多信息,文章内容仅供参考,转载请注明出处。

关于我们 - 管理团队 - 网站历史 - 联系我们 - 广告服务 - 法律声明 - 网站地图 - RSS订阅 - 返回顶部

Power by DedeCms

QQ大盗病毒传播技术分析报告及防范

作者:佚名 来源:Linux 宝库 点击: 日期:2006-12-23

作者:佚名来源:Linux 宝库点击: 日期:2006-12-23