病毒概述
病毒別名:
處理時間:
威脅級別:★★
中文名稱:
病毒類型:木馬
影響系統:Win9x / WinNT
病毒行為:
病毒會關閉安全軟體、禁用註冊表編輯器和任務管理器;修改TXT的檔案關聯到病毒檔案,使得每次打開TXT檔案的時候該病毒都會被運行一次。病毒會檢測當前視窗是否為QQ的聊天視窗,如果是就向好友傳送帶有病毒的連結,欺騙好友去點擊,從而也感染該病毒。
病毒特性
1)病毒將自己拷貝到:
%System%\HDDGMom.exe 18227位元組
%SystemRoot%\Tilss.exe 18227位元組
2)釋放另一個病毒到%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\5PA7KDYN\huanyuan【1】.exe(Win32.Troj.LaStaHJJ.c)
2)在%System%目錄下建立一個包含多個病毒的自解壓包sm2.exe(360448位元組),當網路斷開的時候會彈出如下的錯誤警告並將多個病毒解壓到用戶的臨時目錄下:
其中包括下列病毒:
444.reg (Win32.Reg.Winpass)
chk.exe (Win32.Troj.LaSta.41984)
chk20.exe (Win32.Troj.LaSta.20480)
huanyuan.exe (Win32.Troj.LaStaHJJ.c.28672)
3)從網路上下載另外一個包含多個病毒的自解壓包huanyuan.exe(1317888位元組)到本地機器上,其中包括下列病毒:
001.exe (Win32.Troj.Hhuangjiaju.a.20492)
444.reg (Win32.Reg.Winpass)
chk.exe (Win32.Troj.LaSta.41984)
chk20.exe (Win32.Troj.LaSta.20480)
huanyuan.exe (Win32.Troj.LaStaHJJ.c.28672)
pojie.exe (Win32.Troj.LaStaHJJ.c.28672)
winpass.exe (Win32.Troj.LaStaHJJ.c.28672)
4)在註冊表中添加啟動項,使得該病毒能在開機的時候自啟動
HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run
"HDDGMon"="%System%\HDDGMom.exe"
5)修改TXT的檔案關聯到病毒檔案,使得每次打開TXT檔案的時候該病毒都會被運行一次
HKEY_CLASSES_ROOT\TxtFile\Shell\Open\Command
"(Default)"="%SystemRoot%\Tilss.exe"
6)強行結束視窗標題中包含下列字眼的進程,以關閉安全軟體、禁用註冊表編輯器和任務管理器:
註冊表
系統配置實用程式
qqkav
密碼防盜
天網
綠鷹PC
防火牆
進程
網鏢
任務管理器
防毒
超級兔子
最佳化大師
木馬剋星
QQAV
毒霸
黃山IE
騰訊公司QQ
QQ病毒
7)判斷當前視窗是否為QQ的聊天視窗,如果是就向好友傳送帶有病毒的連結,欺騙好友去點擊。
