上一篇：揭开复制大文件的断点续传之谜 >>

QQ大盗传播技术分析报告及防范

病毒名称：trojan/psw.qqpass.br
　　中文名：“qq大盗”
　　病毒类型：木马
　　危害等级：★★
　　影响平台：win 9x/2000/xp/nt/me/2003
　　“qq大盗”病毒可以利用ie浏览器mht漏洞，通过利用该漏洞编写的恶意网页代码，自动下载一个网上的chm文件，“qq大盗”病毒即内嵌其中并开始自动运行。
　　1、该木马程序运行后，将在系统文件夹生成：%systemdir%\ntdhcp.exe，28400字节。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

(图一)
　　并添加注册表项：
　　[hkey_localmachine\software\microsoft\windows\currentversion\run]
　　“ntdhcp” = %systemdir%\ntdhcp.exe
　　这样，在windows启动时，木马得以自动运行。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

(图二)
　　2、 “qq大盗”病毒(trojan/psw.qqpass.br)的盗取目标是用户的qq号、密码和详细的qq资料信息。
　　“qq大盗”病毒防范措施：
　　未感染病毒用户：升级杀毒软件(如江民杀毒软件kv2005)病毒库到最新病毒库，开启病毒实监控。将系统打上mht文件下载执行漏洞补丁程序。
　　微软官方补丁网址：www.microsoft.com/technet/security/bulletin/ms04-013.mspx
　　已感染病毒的用户：首先需安装正版杀毒软件并升级最新病毒库，对电脑进行全盘查杀。运行regedit注册表编辑器，定位到
　　[hkey_localmachine\software\microsoft\windows\currentversion\run]，将run下面的键值“ntdhcp” = %systemdir%\ntdhcp.exe删除。
　　手工清除办法：
　　首先运行任务管理器，查找并结束掉ntdhcp.exe进程
　　按照病毒文件所在位置system\ntdhcp.exe找到系统目录下的病毒文件，手工删除，。运行regedit注册表编辑器，定位到
　　[hkey_localmachine\software\microsoft\windows\currentversion\run]，将run下面的键值“ntdhcp” = %systemdir%\ntdhcp.exe删除。
　　系统加固办法：
　　1、使用windows update功能自动更新系统补丁。
　2、下载安装mht文件下载执行漏洞补丁。
　　mht漏洞官方补丁下载地址：
　　www.microsoft.com/technet/security/bulletin/ms04-013.mspx

（）

返回顶部

下一篇：判断电脑是否感染了病毒 >>