Renwx.h(QQ任我行)

2004年9月7日,江民反病毒中心率先截獲QQ任我行變種(Backdoor/Renwx..h)。 該病毒通過安裝鉤子和創建共享記憶體等技術手段使得用戶在感染該病毒後黑客就能通過QQ穿透防火牆遠程控制用戶的電腦。

概要

病毒類型:特洛伊木馬
病毒大小:161280位元組
傳播方式:網路
危害等級:**
2004年9月7日,江民反病毒中心率先截獲QQ任我行變種(Backdoor/Renwx..h)。
該病毒通過安裝鉤子和創建共享記憶體等技術手段使得用戶在感染該病毒後黑客就能通過QQ穿透防火牆遠程控制用戶的電腦。
具體技術特徵如下:
1. 在感染計算機上釋放下列檔案:
病毒運行後,將創建下列檔案:
%WinDir%\qqrwx.exe, 161280位元組 病毒主程式
%WinDir%\sm.dll,12288位元組 鉤子模組
2.在註冊表中添加下列啟動項:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"WinQQ" = %WinDir%\qqrwx.exe
這樣,在Windows啟動時,病毒就可以自動執行。
3.病毒運行後會安裝三個鉤子,分別截獲用戶的鍵盤輸入、應用程式視窗變化和應用程式通信,已達到監視用戶QQ的目的。
4.判斷用戶當前視窗是否為QQ的回訊息視窗,並查看用戶收到的訊息中是否含有下列字元,分別進行相應操作:
關閉電腦 把用戶的電腦關閉
註銷用戶 註銷已經登錄的用戶
電腦重啟 重新啟動用戶電腦
顯示桌面 顯示用戶桌面上的圖示
隱藏桌面 隱藏用戶桌面上的圖示
鎖定桌面 鎖定用戶桌面,用戶不能對桌面的圖示進行操作
解鎖桌面 解除對用戶電腦桌面的鎖定狀態
鎖定開始 隱藏用戶電腦上的“開始”按鈕
解鎖開始 解除對用戶電腦“開始”按鈕的鎖定狀態
顯示系統列 顯示用戶電腦的系統列
隱藏系統列 隱藏用戶電腦的系統列
鎖定系統列 鎖定系統列中的所有任務
解鎖系統列 解除對用戶系統列中的所有任務的鎖定狀態
鎖定啟動欄 鎖定用戶電腦的快速啟動一欄
解鎖啟動欄 解除對用戶電腦的快速啟動欄的鎖定狀態
我的電腦 打開用戶的“我的電腦”
我的文檔 打開用戶的“我的文檔”
打開IE 打開用戶的“IE”瀏覽器
環形圖示 讓用戶電腦的圖示以環形排列
對稱圖示 讓用戶電腦的圖示以兩邊對稱排列
右圖示 讓用戶電腦的圖示從右邊排列
還原圖示 還原對的圖示排列方式
刪除牆紙 刪除用戶電腦桌面的牆紙
螢幕保護 啟動用戶電腦的螢幕保護功能
彈出光碟機 彈出用戶的光碟機
關閉光碟機 關上用戶的光碟機
鎖定滑鼠 鎖定用戶的滑鼠
解鎖滑鼠 解除對用戶滑鼠的鎖定狀態

相關條目

網站 網址 網路計算機 軟體 硬體

相關詞條

相關搜尋

熱門詞條

聯絡我們