注册
 找回密码
 注册
江西广告网
查看: 722|回复: 0
打印 上一主题 下一主题

QQ大盗病毒传播技术分析报告及防范

[复制链接]

该用户从未签到

1
跳转到指定楼层
发表于 2008-12-4 10:10:54 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x

  五一回来,忙碌了几天,一直没空更新这个栏目,听说很多网友的QQ被盗,见识到“QQ大盗”的危害性,于是第一天我们来查杀这个可恶的病毒。
  
  病毒名称:Trojan/PSW.QQpass.br
  
  中 文 名:“QQ大盗”
  
  病毒类型:木马
  
  危害等级:★★
  
  影响平台:Win 9x/2000/XP/NT/Me/2003
  
  “QQ大盗”病毒可以利用IE浏览器mht漏洞,通过利用该漏洞编写的恶意网页代码,自动下载一个网上的chm文件, “QQ大盗”病毒即内嵌其中并开始自动运行。
  
  1、 该木马程序运行后,将在系统文件夹生成:%SystemDir%\NTdhcp.exe,28400字节。
  
 

  
(图一)

  
  并添加注册表项:
  
  [HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  
  “NTdhcp” = %SystemDir%\NTdhcp.exe
  
  这样,在Windows启动时,木马得以自动运行。
  

  
(图二)

  
  2、 “QQ大盗”病毒(Trojan/PSW.QQpass.br)的盗取目标是用户的QQ号、密码和详细的QQ资料信息。
  
  “QQ大盗”病毒防范措施:
  
  未感染病毒用户:升级杀毒软件(如江民杀毒软件KV2005)病毒库到最新病毒库,开启病毒实监控。将系统打上MHT文件下载执行漏洞补丁程序。
  
  微软官方补丁网址:http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
  
  已感染病毒的用户:首先需安装正版杀毒软件并升级最新病毒库,对电脑进行全盘查杀。运行REGEDIT注册表编辑器,定位到
  
  [HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。
  
  手工清除办法:
  
  首先运行任务管理器,查找并结束掉NTdhcp.exe进程
  
  按照病毒文件所在位置System\NTdhcp.exe找到系统目录下的病毒文件,手工删除,。运行REGEDIT注册表编辑器,定位到
  
  [HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。
  
  系统加固办法:
  
  1、使用WINDOWS UPDATE功能自动更新系统补丁。
  
  2、下载安装MHT文件下载执行漏洞补丁。
  
  MHT漏洞官方补丁下载地址:
  
  http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
  2005.5.10 <
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表