生猛QQ病毒诊治方法，分享给大家跳跃中国-中国先锋艺术代表团体

跳跃中国论坛-skipcnBBSskipcn生活区 我们是数字的生猛QQ病毒诊治方法，分享给大家

1 / 1 页

跳转页

查看:2140

标题: 生猛QQ病毒诊治方法，分享给大家

Xstudio

个人空间 相册
性别:
来自:
积分:849
帖子:799
注册: 2007-01-02

2007-12-13 14:39 | 只看楼主

树型| 收藏| 小中大 1

生猛QQ病毒诊治方法，分享给大家

转自金山毒霸论坛：

网友：虎子哥，昨天我的QQ登录时，提示在别的地方登录过，感觉QQ号被盗了，QQ医生也提示损坏。上网用金山在线杀毒查到一个PSWTroj.QQPass.xv.139363的病毒。还好我的QQ有密保，我也没什么可偷的。这些盗QQ的太可恨了，这个病毒是怎么进来的，怎样避免以的再中。

蔫老虎：
在金山毒霸百科中，我查到了这个病毒的技术分析。这是个以盗号为目的的QQ木马，木马会生成一个SysWFGQQ2.dll的文件，并把这个DLL文件注入到其它正常程序的进程中运行。同时，该木马会尝试删除QQ医生的执行文件。

以下是病毒行为：
1.生成的病毒文件为C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGQQ2.dll

2.病毒会生成CLSID组件
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}
Default = ""
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
Default = "C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll"
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32 ThreadingModel = "Apartment"

3.修改注册表,在程序执行挂勾中添加CLSID的相关值，实现开机自启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{91B1E846-2BEF-4345-8848-7699C7C9935F}

4.病毒运行后会删除QQ医生的执行文件QQDoctor\QQDoctor.exe

5.病毒运行后会登录www.ip.cn网站来获得客户机器的IP地址.

6.病毒运行后会通过读取内存的方式截获客户QQ的账号,密码,等级,Q币等相关资料.然后把获得的QQ的相关资料发送到木马种植者的邮箱.

相信很多QQ用户只有QQ号可偷，不要以为这样损失就会小，偷QQ号的人需要的是你的交际圈，买QQ号的人，会通过你的QQ对你的朋友进行二次攻击。手段花样很多，你的朋友可能因此受害。

防护建议：
注意及时更新系统补丁，使用金山清理专家的反网页挂马功能，减少上网浏览时中木马的机会。QQ聊天时，对网友发来的链接，文件，小心打开。注意及时升级杀毒软件，减少风险。

<<上一主题|下一主题>>

1 / 1 页

跳转页