概述
病毒別名: 處理時間:2006-12-06 威脅級別:★
中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
這是個盜取用戶QQ帳號的木馬,並能通過移動介質傳播。
1、將自身複製到 %WINDOWS%\CTFMON.exe 並執行,釋放檔案 %WINDOWS%\vmmreg.dll,並將這兩個檔案設定為系統和隱藏屬性。
2、檢測軟碟機,如果存在,則將自身複製為:A:\重要檔案.exe
3、將自身複製為除C糟的其它盤根目錄下的檔案:ravmon.exe,並創建檔案autorun.inf,使用戶雙擊打開該盤時就運行病毒,檔案內容如下:
【AutoRun】
Open=ravmon.exe
4、修改以下註冊表項:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\SyncMode5 0x3
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun 0x95
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\CDRAutoRun 0x0
5、添加啟動項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon "C:\WINDOWS\ctfmon.exe"
6、從網址:http://www.jg***.net/myd/mm.exe 下載檔案到:C:\Program Files\Common Files\System\adomh.exe,並執行。
7、當檢測到QQ運行時刪除QQ鍵盤保護檔案 npkcrypt.sys 。
