程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 數據庫知識 >> SqlServer數據庫 >> 關於SqlServer >> QQ大盜傳播技術分析報告

QQ大盜傳播技術分析報告

編輯:關於SqlServer

病毒名稱:Trojan/PSW.QQpass.br

中 文 名:“QQ大盜”

病毒類型:木馬

危害等級:★★

影響平台:Win 9x/2000/XP/NT/Me/2003

“QQ大盜”病毒可以利用IE浏覽器mht漏洞,通過利用該漏洞編寫的惡意網頁代碼,自動下載一個網上的chm文件,“QQ大盜”病毒即內嵌其中並開始自動運行。

1、 該木馬程序運行後,將在系統文件夾生成:%SystemDir%\NTdhcp.exe,28400字節。

QQ大盜傳播技術分析報告(圖一)

圖一

並添加注冊表項:

  [HKEY_LOCALMacHINE\Software\Microsoft\Windows\CurrentVersion\Run]

“NTdhcp” = %SystemDir%\NTdhcp.exe

這樣,在Windows啟動時,木馬得以自動運行。

QQ大盜傳播技術分析報告(圖二)

圖二

並添加注冊表項:

  [HKEY_LOCALMacHINE\Software\Microsoft\Windows\CurrentVersion\Run]

“NTdhcp” = %SystemDir%\NTdhcp.exe

這樣,在Windows啟動時,木馬得以自動運行。

2、 “QQ大盜”病毒(Trojan/PSW.QQpass.br)的盜取目標是用戶的QQ號、密碼和詳細的QQ資料信息。

“QQ大盜”病毒防范措施:

未感染病毒用戶:升級殺毒軟件(如江民殺毒軟件KV2005)病毒庫到最新病毒庫,開啟病毒實監控。將系統打上MHT文件下載執行漏洞補丁程序。

微軟官方補丁網址:www.microsoft.com/technet/security/bulletin/MS04-013.mspx

已感染病毒的用戶:首先需安裝正版殺毒軟件並升級最新病毒庫,對電腦進行全盤查殺。運行REGEDIT注冊表編輯器,定位到

  [HKEY_LOCALMacHINE\Software\Microsoft\Windows\CurrentVersion\Run],將RUN下面的鍵值“NTdhcp” = %SystemDir%\NTdhcp.exe刪除。

手工清除辦法:

首先運行任務管理器,查找並結束掉NTdhcp.exe進程

按照病毒文件所在位置System\NTdhcp.exe找到系統目錄下的病毒文件,手工刪除,。運行REGEDIT注冊表編輯器,定位到

  [HKEY_LOCALMacHINE\Software\Microsoft\Windows\CurrentVersion\Run],將RUN下面的鍵值“NTdhcp” = %SystemDir%\NTdhcp.exe刪除。

系統加固辦法:

1、使用Windows UPDATE功能自動更新系統補丁。

2、下載安裝MHT文件下載執行漏洞補丁。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved