病毒別名
: 處理時間:2006-09-06 威脅級別:★中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
:
這是一個盜取QQ號碼的木馬。病毒運行後會將QQ安全鎖檔案npkcrypt.sys改名為npkcrypt.bak,使安全鎖失效,並安裝鍵盤鉤子,記錄鍵盤。
1、病毒運行後會首先查找系統目錄下是否有如下病毒檔案:
%system%\hook.dll
%system%\SVCH0ST.EXE
如果沒有則生成。
注意"SVCH0ST.EXE"中間的是數字零,病毒以此偽裝成系統檔案。
2、病毒運行SVCH0ST.EXE病毒檔案,生成_deleteme.bat檔案,病毒結束自身進程後刪除自身。
3、添加如下註冊表鍵值以便開機自動運行
【HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run】
"AutoRun"="C:\WINDOWS\system32\SVCH0ST.EXE"
4、SVCH0ST.EXE運行後載入hook.dll,將QQ目錄下的npkcrypt.sys檔案改名為npkcrypt.bak,使QQ的鍵盤安全鎖失效。
5、安裝全局鉤子對系統進行監視,記錄鍵盤。
6、連線網路,提交密碼。