簡介:該病毒使用delphi編寫,採用AsPack壓縮,是一個通過監視QQ的訊息來進行遠程控制的木馬。
一、病毒評估
1.病毒中文名: QQ叛徒
2.病毒英文名:Trojan.QQbot.a
3.病毒別名: 無
4.病毒大小:659456位元組
5.病毒類型:木馬
6.病毒危險等級:★★★★
7.病毒傳播途徑:網路
8.病毒依賴系統:Windows 95 Windows 98 Windows ME Windows 2000 Windows XP
二、病毒技術細節:
該病毒使用delphi編寫,採用ASpack壓縮,是一個通過監視QQ的訊息來進行遠程控制的木馬。一旦運行,病毒將執行下列操作:
1.病毒將修改註冊表,添加"registry" = "%CURBASE%\\%CURFILE"到鍵值:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run下,這樣病毒就可以隨系統自啟動。
2.病毒通過監視QQ的接收訊息來回響遠程控制端的操作:
病毒可以執行的操作包括:上傳、下載、執行檔案,共享硬碟,關閉、重啟計算機,抓屏並傳送EMail,通過進程名或ID來終止進程的運行,關閉、卸載木馬等。
3.病毒的遠程控制端通過生成相應的QQ訊息來控制其服務端,傳送的訊息跟病毒進行的操作對應如下:
"去看看!wsdgs!!@@iXT 3;lGim OKdrk uLL&&ldUimlw$$"->此傳送的訊息為下載木馬網址;(@@後面是隨機字元)
"我看看!wsdgs@@0/$s^t&&"->此訊息為從染毒機器中下載檔案;
"你好啊!wsdgs@@1234567&&"->此訊息為共享C糟;
"去試試!wsdgs@@iXT 3;lGim OKdrk uLL&&"->此訊息執行檔案;
"當機了?wsdgs"->關機;
"掉線了?wsdgs"->重啟;
"在幹嘛?wsdgs!!"->抓屏並Mail;
"還在啊?wsdgs!!"->列舉進程並Mail;
"怎么了?wsdgs@@1234&&"->關閉進程;
"冷雨打芭蕉"->關閉對方QQ;
"江湖一劍飄"->關閉木馬;
"天涯任逍遙"->卸載木馬;
三、解決方案:
1.進行升級
瑞星公司將於當天進行升級,升級後的軟體版本號為16.28.10,該版本的瑞星防毒軟體可以徹底查殺此病毒,瑞星防毒軟體標準版和網路版的用戶可以直接登入瑞星網站下載升級包進行升級,或者使用瑞星防毒軟體的“智慧型升級”功能。
2.使用線上防毒和下載版
用戶還可以使用瑞星公司的線上防毒與下載版產品清除該病毒,這兩款產品有多種支付途徑,用戶可以登入瑞星來使用線上防毒產品,或者登入瑞星來使用下載版產品。
3.打電話求救
如果遇到關於該病毒的其它問題,用戶可以隨時撥打瑞星反病毒急救電話來尋求反病毒專家的幫助!
四、安全建議:
1.建立良好的安全習慣。例如:不要輕易打開一些來歷不明的郵件及附屬檔案,不要上一些不太了解的網站,不要運行從網際網路上下載的未經防毒處理的軟體等,這些必要的習慣會使您的計算機更加安全。
2.關閉或刪除系統中不需要的服務。默認情況下,作業系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大作用,如果刪除它們,就能大大減少被攻擊的可能性,增強電腦的安全。
3.經常升級安全補丁。據統計,大部分網路病毒都是通過系統安全漏洞進行傳播的,象衝擊波、大無極、SCO炸彈、網路天空等。漏洞的存在,會造成防毒殺不乾淨的狀況,所以應該定期到微軟網站去下載最新的安全補丁,堵住系統的漏洞。
4.使用複雜的密碼。有許多網路病毒是通過猜測簡單密碼的方式攻擊系統的,因此使用複雜的密碼,將會大大提高計算機的安全係數,減少被病毒攻擊的機率。
5.迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6.了解一些病毒知識。這樣您就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。如果能了解一些註冊表知識,就可以定期看一看註冊表的自啟動項是否有可疑鍵值;如果能了解一些記憶體知識,就可以經常看看記憶體中是否有可疑程式。
7.最好是安裝專業的防毒軟體進行全面監控。在病毒日益增多的今天,使用防毒軟體進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟體之後,應該經常進行升級、將一些主要監控打開(如郵件監控)、遇到問題要及時上報,這樣才能真正保障計算機的安全。