当前位置:在线查询网 > 在线百科全书查询 > Trojan-PSW.Win32.QQRob.fb

Trojan-PSW.Win32.QQRob.fb_在线百科全书查询


请输入要查询的词条内容:

Trojan-PSW.Win32.QQRob.fb

该病毒属木马类,病毒运行后,释放病毒文件到系统盘%WINDOWS%\\deleteme.bat,%system32%\\loveme.exe;修改注册表,添加启动项,以达到随机启动的目的;病毒尝试删除反病毒软件启动项,关闭反反病毒进程等,以防止病毒被杀。该病毒盗取QICQ、ICQ密码,尝试记录QICQ、ICQ的密码保护问题;并会检查系统管理员及用户的账号和密码。禁止在线杀毒等。该病毒对用户有较大危害。

病毒名称

Trojan-PSW.Win32.QQRob.fb

病毒类型: 木马类

文件 MD5: 3cd18067e6c7e39bfd07f3e15a928498

公开范围: 完全公开

危害等级: 中

文件长度: 98,479 字节

感染系统: windows98以上版本

开发工具: Borland Delphi 6.0 - 7.0

加壳类型: 无

命名对照: Symentec[无]

Mcafee[无]

行为分析:

1、病毒运行后,释放病毒文件到系统盘:

%WINDOWS%\\deleteme.bat

%system32%\\loveme.exe

2、修改注册表,添加启动项,以达到随机启动的目的:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run

键值:字串:"LOveme"="(病毒所在路径)\\LOveme.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\ShellNoRoam\\MUICache

键值: 字串: "(病毒所在路径)"="password"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\kavsvc\\Start

值:DWORD: 4 (0x4)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\kmixer\\Enum\\0

值: "SW\\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\\

{9B365890-165F-11D0-A195-0020AFD156E4}"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\

, KVSrvXP\\Start

值: DWORD: 4 (0x4)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\avapsvc\\Start

值: DWORD: 4 (0x4)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\RsRavMon\\Start

值: DWORD: 4 (0x4)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\Symantec Core LC\\Start

值: DWORD: 4 (0x4)

3、病毒尝试删除反病毒软件启动项:

KAVRun

RavMon

Kvxp

KvNative

… …

4、关闭反反病毒进程,以防止病毒被杀:

KAVRun

TavMon

RsRavMon

RsCCenter

KVWSC

kavsvc

KWatchSvc

wscsvc

Symantec core LC

Navapsvc

… …

5、尝试终止以下杀毒软件的进程:

金山毒霸2005

卡巴斯基反病毒单机版本

sysmantec antivirus企业版

天网防火墙个人版

天网防火墙企业版

木马克星

… …

6、检查管理员密码、检查当前用户密码

7、禁止在线杀毒:

VirusScan Online

注:

 % System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案 :

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%WINDOWS%\\deleteme.bat

%system32%\\loveme.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run

键值:字串:"LOveme"="(病毒所在路径)\\LOveme.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\ShellNoRoam\\MUICache

键值: 字串: "(病毒所在路径)"="password"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\kavsvc\\Start

值:DWORD: 4 (0x4)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\kmixer\\Enum\\0

值: s"SW\\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}

\\{9B365890-165F-11D0-A195-0020AFD156E4}"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\KVSrvXP\\Start

值: DWORD: 4 (0x4)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\avapsvc\\Start

值: DWORD: 4 (0x4)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\RsRavMon\\Start

值: DWORD: 4 (0x4)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\Symantec Core LC\\Start

值: DWORD: 4 (0x4)

相关分词: Trojan-PSW Trojan PSW Win 32 QQRob fb