QQ大盗传播技术分析报告及防范--香港总彩

§‖ Date ::..

§‖ BLog Info ::..

§‖ New BLog ::..

§‖ Comment ::..

§‖ Message ::..

§‖ User Login ::..

§‖ Search ::..

§‖ Links ::..

QQ大盗传播技术分析报告及防范

病毒名称：Trojan/PSW.QQpass.br

　　中文名：“QQ大盗”

　　病毒类型：木马

　　危害等级：★★

　　影响平台：Win 9x/2000/XP/NT/Me/2003

　　“QQ大盗”病毒可以利用IE浏览器mht漏洞，通过利用该漏洞编写的恶意网页代码，自动下载一个网上的chm文件，“QQ大盗”病毒即内嵌其中并开始自动运行。

　　1、该木马程序运行后，将在系统文件夹生成：%SystemDir%\NTdhcp.exe，28400字节。

　　并添加注册表项：

　　[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

　　“NTdhcp” = %SystemDir%\NTdhcp.exe

　　这样，在Windows启动时，木马得以自动运行。

　　2、 “QQ大盗”病毒(Trojan/PSW.QQpass.br)的盗取目标是用户的QQ号、密码和详细的QQ资料信息。

　　“QQ大盗”病毒防范措施：

　　未感染病毒用户：升级杀毒软件(如江民杀毒软件KV2005)病毒库到最新病毒库，开启病毒实监控。将系统打上MHT文件下载执行漏洞补丁程序。

　　微软官方补丁网址：www.microsoft.com/technet/security/bulletin/MS04-013.mspx

　　已感染病毒的用户：首先需安装正版杀毒软件并升级最新病毒库，对电脑进行全盘查杀。运行REGEDIT注册表编辑器，定位到

　　[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。

　　手工清除办法：

　　首先运行任务管理器，查找并结束掉NTdhcp.exe进程

　　按照病毒文件所在位置System\NTdhcp.exe找到系统目录下的病毒文件，手工删除，。运行REGEDIT注册表编辑器，定位到

　　[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。

　　系统加固办法：

　　1、使用WINDOWS UPDATE功能自动更新系统补丁。

　　2、下载安装MHT文件下载执行漏洞补丁。

　　MHT漏洞官方补丁下载地址：

　　www.microsoft.com/technet/security/bulletin/MS04-013.mspx

zhlw88cn by 2006-7-1 8:20:16
阅读全文 | 回复(2) | 引用通告 | 编辑

上一篇：转载：一篇被台湾网站封杀的帖子(写的不错)
下一篇：呵呵,采用新域名http://hacku.cn.gg 旧的可继续使用

戴尔手提电脑

TPOHDKNA(游客) by 2008-3-11 12:25:44
个人主页 | 引用 | 返回 | 删除 | 回复

Re:QQ大盗传播技术分析报告及防范

这病毒好讨厌啊侵到我电脑里来了....

玉子(游客) by 2006-7-1 9:01:27
个人主页 | 引用 | 返回 | 删除 | 回复

发表评论：