簡介
病毒別名: 處理時間:2006-12-06 威脅級別:★
中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
這是一個盜取QQ號碼的病毒,病毒會監視QQ登錄視窗,記錄鍵盤,把得到的信息傳送的指定信箱。
1、病毒運行後會複製自身到%system%\SVOHOST.exe,並釋放一個dll檔案到%system%\winscok.dll,在除系統分區的每個盤的根目錄下生成檔案sxs.exe和autorun.inf檔案,使用戶雙擊打開磁碟時會激活病毒。
2、修改註冊表,添加自啟動項:
【HKLM\Software\Microsoft\Windows\CurrentVersion\Run】
"SoundMam"="C:\WINDOWS\system32\SVOHOST.exe"
刪除如下安全軟體的啟動項鍵值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RavTask
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KvMonXP
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ylive.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yassistse
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winhoxt
刪除QQ大盜的自啟動項,防止其與自己爭奪盜取QQ號:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NTdhcp
3、尋找TKillqqvir、QQAV、QQKav等qq安全進程,找到則關閉其進程。
4、載入winscok.dll,安裝全局鉤子對QQ登錄視窗進行監視,記錄QQ號碼和密碼。
