病毒名称:Trojan/PSW.QQpass.br
中 文 名:“QQ大盗”
病毒类型:木马
危害等级:★★
影响平台:Win 9x/2000/XP/NT/Me/2003
“QQ大盗”病毒可以利用IE
浏览器mht漏洞,通过利用该漏洞编写的【de】恶意网页代码,自动下载一个网上的chm文件, “QQ大盗”病毒即内嵌【qiàn】其中并开始自【zì】动运【yùn】行。
1、 该木【mù】马程序运【yùn】行后,将在系统文件夹生成:%SystemDir%\NTdhcp.exe,28400字节。
(图一)
并添加注册表项:[HKEY_LOCALMACHINE\Softw
are\Microsoft\Windows\CurrentVersion\Run]“NTdhcp” = %SystemDir%\NTdhcp.exe这样,在Windows启动时【shí】,木马得以自动运行。
(图二)
2、 “QQ大【dà】盗”病毒(Trojan/PSW.QQpass.br)的盗取【qǔ】目标是用户的QQ号、密码和详细的QQ资【zī】料信息。
“QQ大盗”病毒防范措施:
未感染病毒用户:
升级杀毒软件(如江民杀毒软件KV2005)病毒库到【dào】最新病【bìng】毒库,开启病毒实监控。将系统打上MHT文件下载【zǎi】执行漏洞补丁程序。
微软官方补丁网址:
http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
已感染病毒的用户:首先需安装正版
杀毒软件并升级最新【xīn】病毒库,对电脑【nǎo】进行全盘查杀。运行REGEDIT注册表编辑器,定位到[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。
手工清除办法:
首先运行任务管理器,查找并结束掉NTdhcp.exe进程
按照病毒文件所在位置System\NTdhcp.exe找到系统【tǒng】目录下【xià】的病毒文件,手工删除,。运【yùn】行REGEDIT注【zhù】册表编辑器,
定位到[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],将RUN下面的【de】键【jiàn】值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。
系统加固办法:
1、使用【yòng】WINDOWS UPDATE功能自动更新系统补丁。
2、下载安装MHT文件下载执行漏洞补丁。
MHT漏洞官方补丁下载地址:
http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx