据金山毒霸安全资讯网报道,在过去的两天中,金山毒霸在国内率先截获了“QQ密探”连续发布的A、B两个变种。该病毒采用了QQ病毒感染及运行的新方法,给广大的QQ用户带来了前所未有的安全隐患。金山毒霸全面出击,在短时间了完成了对该病毒的查杀升级。以下是金山毒霸对该病毒两个变种的分析报告:
病毒信息㈠:
病毒名称: Win32.Troj.QQNark.a
中文名称: “QQ密探”变种A
威胁级别: 3C
发现日期: 2004.05.24
处理日期: 2004.05.24
病毒类型: 木马
受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
破坏方式:
病毒通过监视QQ的接收消息来响应远程控制端的操作:
病毒可以执行的操作包括:上传、下载、执行文件,
共享硬盘,关闭、重启计算机,抓屏并发送
EMail,通过进程名或ID来终止进程的运行,关闭、卸载木马等。
发作现象: 利用QQ,通过网络传播
技术特点:
A、病毒将修改注册表,添加"registry" = "%<病毒第一次运行路径>%/<病毒第一次运行文件名>"到键值:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/Run下,这样病毒就可以随系统自启动。
B、病毒的远程控制端通过生成相应的QQ消息来控制其服务端,发送的消息跟病毒进行的操作对应如下:
"去看看!wsdgs!!@@iXT 3;lGim OKdrk uLL&&ldUimlw$$"->此发送的消息为下载木马网址;(@@后面是随机字符)
"我看看!wsdgs@@0/$s^t&&"->此消息为从染毒机器中下载文件;
"你好啊!wsdgs@@1234567&&"->此消息为共享C盘;
"去试试!wsdgs@@iXT 3;lGim OKdrk uLL&&"->此消息执行文件;
"死机了?wsdgs"->关机;
"掉线了?wsdgs"->重启;
"在干嘛?wsdgs!!"->抓屏并Mail;
"还在啊?wsdgs!!"->列举进程并Mail;
"怎么了?wsdgs@@1234&&"->关闭进程;
"冷雨打芭蕉"->关闭对方QQ;
"江湖一剑飘"->关闭木马;
"天涯任逍遥"->卸载木马
病毒信息㈡:
病毒名称: Win32.Troj.QQNark.b
中文名称: “QQ密探”变种B
威胁级别: 3C
发现日期: 2004.05.24
处理日期: 2004.05.24
病毒类型: 木马
受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
破坏方式:
病毒通过监视QQ的接收消息来响应远程控制端的操作:
病毒可以执行的操作包括:上传、下载、执行文件,共享硬盘,关闭、重启计算机,抓屏并发送
EMail,通过进程名或ID来终止进程的运行,关闭、卸载木马等。
发作现象: 利用QQ,通过网络传播
技术特点:
变种A在变种B的基础上作了如下修改:
改进了它的发邮件功能,解决了发送邮件失败的问题,增强了窃密能力,需要更加注意防范。
解决方案:
· 请使用金山毒霸2004年05月26日的病毒库可完全处理该病毒;
· 请不要轻易运行QQ上发送过来的具有诱惑性名称的不明文件,请先升级毒霸至最新病毒库,
对收到的文件进行查毒操作,确保无毒后再运行;
· 如果发现自己中了病毒,请升级毒霸到最新病毒库,也可以到毒霸或腾讯的网站上下载最新的
QQ专杀,进行全盘查杀,彻底清除该病毒。
病毒信息㈠:
病毒名称: Win32.Troj.QQNark.a
中文名称: “QQ密探”变种A
威胁级别: 3C
发现日期: 2004.05.24
处理日期: 2004.05.24
病毒类型: 木马
受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
破坏方式:
病毒通过监视QQ的接收消息来响应远程控制端的操作:
病毒可以执行的操作包括:上传、下载、执行文件,
共享硬盘,关闭、重启计算机,抓屏并发送
EMail,通过进程名或ID来终止进程的运行,关闭、卸载木马等。
发作现象: 利用QQ,通过网络传播
技术特点:
A、病毒将修改注册表,添加"registry" = "%<病毒第一次运行路径>%/<病毒第一次运行文件名>"到键值:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/Run下,这样病毒就可以随系统自启动。
B、病毒的远程控制端通过生成相应的QQ消息来控制其服务端,发送的消息跟病毒进行的操作对应如下:
"去看看!wsdgs!!@@iXT 3;lGim OKdrk uLL&&ldUimlw$$"->此发送的消息为下载木马网址;(@@后面是随机字符)
"我看看!wsdgs@@0/$s^t&&"->此消息为从染毒机器中下载文件;
"你好啊!wsdgs@@1234567&&"->此消息为共享C盘;
"去试试!wsdgs@@iXT 3;lGim OKdrk uLL&&"->此消息执行文件;
"死机了?wsdgs"->关机;
"掉线了?wsdgs"->重启;
"在干嘛?wsdgs!!"->抓屏并Mail;
"还在啊?wsdgs!!"->列举进程并Mail;
"怎么了?wsdgs@@1234&&"->关闭进程;
"冷雨打芭蕉"->关闭对方QQ;
"江湖一剑飘"->关闭木马;
"天涯任逍遥"->卸载木马
病毒信息㈡:
病毒名称: Win32.Troj.QQNark.b
中文名称: “QQ密探”变种B
威胁级别: 3C
发现日期: 2004.05.24
处理日期: 2004.05.24
病毒类型: 木马
受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
破坏方式:
病毒通过监视QQ的接收消息来响应远程控制端的操作:
病毒可以执行的操作包括:上传、下载、执行文件,共享硬盘,关闭、重启计算机,抓屏并发送
EMail,通过进程名或ID来终止进程的运行,关闭、卸载木马等。
发作现象: 利用QQ,通过网络传播
技术特点:
变种A在变种B的基础上作了如下修改:
改进了它的发邮件功能,解决了发送邮件失败的问题,增强了窃密能力,需要更加注意防范。
解决方案:
· 请使用金山毒霸2004年05月26日的病毒库可完全处理该病毒;
· 请不要轻易运行QQ上发送过来的具有诱惑性名称的不明文件,请先升级毒霸至最新病毒库,
对收到的文件进行查毒操作,确保无毒后再运行;
· 如果发现自己中了病毒,请升级毒霸到最新病毒库,也可以到毒霸或腾讯的网站上下载最新的
QQ专杀,进行全盘查杀,彻底清除该病毒。
上一篇:下一篇:
