Win32.Troj.QQmsgflash2简介_Win32.Troj.QQmsgflash2个人资料_Win32.Troj.QQmsgflash2微博_百科网
A-A+

Win32.Troj.QQmsgflash2简介_Win32.Troj.QQmsgflash2个人资料_Win32.Troj.QQmsgflash2微博

2018-04-16 21:01:09 科学百科 阅读 1 次

概述/Win32.Troj.QQmsgflash2 编辑



病毒别名:
处理时间:
威胁级别:★★★
中文名称:
病毒类型:木马
影响系统:

病毒行为:/Win32.Troj.QQmsgflash2 编辑


即便是用户已经打过IE的漏洞补丁,病毒也会采用欺骗方式引诱用户下载。该木马还会窃取用户系统中的传奇游戏密码,并通过局域网的共享目录传播。

1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网:http://flash2.533.net"

2、当浏览带毒网站时,会利用IE漏洞,尝试新增sys文件和tmp文件的执行关联,并下载执行病毒文件 b.sys,如果IE已经打上补丁,则会弹出一个插件对话框,引诱用户安装,安装后会将自己安装到 %Windows%Downloaded Program Files 文件夹中,文件名为"b.exe",如果用户拒绝安装该插件,会不断弹出对话框要求用户安装。(如下图)

(图big.jpg)
3、复制文件
A、复制病毒体到 %SystemRoot% 文件夹中,文件名为"Rundll32.exe";
B、复制病毒体为 "C:cmd.exe";
C、试图复制病毒体到共享目录中,名为"病毒专杀.exe"和"周杰伦演唱会.exe"。

4、添加注册表启动项,以随机启动
在注册表的主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
添加以下键值
"LoadPowerProfile"="%SystemRoot%Rundll32.exe"

5、修改和新增以下文件关联
A、修改.exe文件的关联,每当执行exe文件时,即首先执行病毒预先复制的病毒文件。
在注册表的主键:
HKEY_CLASS_ROOTexefileshellopencommand
修改如下键值:
默认="C;cmd.exe %1 &*"

B、新增.sys文件的执行关联,使得在浏览带毒网站时执行病毒文件 b.sys
在注册表的主键:
HKEY_CLASS_ROOTsysfileshellopencommand
修改如下键值:
默认="""%1"" %*"

C、新增.tmp文件的执行关联
在注册表的主键:
HKEY_CLASS_ROOTtmpfileshellopencommand
修改如下键值:
默认="""%1"" %*"

6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"信箱中。

7、在Win2000、WinXP、Win2003系统中,系统文件"Rundll32.exe"就在系统目录中,因而病毒会尝试将该文件覆盖,但这几个系统都能自动保护并恢复受到破坏的系统文件,因而病毒不能正常加载,但仍可以通过EXE关联被加载.