发现日期:2004-5-25 10:32:32
简介:该病毒利用delphi编写,接纳ASpack压缩,是一个通过监视QQ的动静来停止长途掌握的木马。
一、病毒评估
1.病毒中文名: QQ叛徒
2.病毒英文名:Trojan.QQbot.a
3.病毒别号: 无
4.病毒大小:659456字节
5.病毒类型:木马
6.病毒危险品级:★★★★
7.病毒传布路子:收集
8.病毒依靠系统:Windows 95 Windows 98 Windows ME Windows 2000 Windows XP
二、病毒手艺细节:
该病毒利用delphi编写,接纳ASpack压缩,是一个通过监视QQ的动静来停止长途掌握的木马。一旦运行,病毒将施行下列操做:
1.病毒将修改注册表,添加“registry“ = “%CURBASE%\%CURFILE“到键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run下,如许病毒就能够随系统自启动。
2.病毒通过监视QQ的领受动静来响应长途掌握端的操做:
病毒能够施行的操做包罗:上传、下载、施行文件,共享硬盘,封闭、重启计算机,抓屏并发送EMail,通过历程名或ID来末行历程的运行,封闭、卸载木马等。
3.病毒的长途掌握端通过生成响应的QQ动静来掌握其办事端,发送的动静跟病毒停止的操做对应如下:
“去看看!wsdgs!!@@iXT 3;lGim OKdrk uLLldUimlw$$“-此发送的动静为下载木马网址;(@@后面是随机字符)
“我看看!wsdgs@@0/$s^t“-此动静为从染毒机器中下载文件;
“你好啊!wsdgs@@1234567“-此动静为共享C盘;
“去尝尝!wsdgs@@iXT 3;lGim OKdrk uLL“-此动静施行文件;
“死机了?wsdgs“-关机;
“掉线了?wsdgs“-重启;
“在干嘛?wsdgs!!“-抓屏并Mail;
“还在啊?wsdgs!!“-列举历程并Mail;
“怎么了?wsdgs@@1234“-封闭历程;
“冷雨打芭蕉“-封闭对方QQ;
“江湖一剑飘“-封闭木马;
“海角任逍遥“-卸载木马;
三、处理计划:
1.停止晋级
瑞星公司将于当天停止晋级,晋级后的软件版本号为16.28.10,该版本的瑞星杀毒软件能够彻底查杀此病毒,瑞星杀毒软件原则版和收集版的用户能够间接登岸瑞星网站(/)下载晋级包停止晋级,或者利用瑞星杀毒软件的“智能晋级”功用。
2.利用在线杀毒和下载版
用户还能够利用瑞星公司的在线杀毒与下载版产物肃清该病毒,那两款产物有多种付出路子,用户能够登岸网址:/来利用下载版产物。
3.打德律风求救
若是碰到关于该病毒的其它问题,用户能够随时拨打瑞星反病毒急救德律风:010-82678800来寻访反病毒专家的搀扶帮助!
四、平安定见:
1.成立优良的平安习惯。例如:不要随便翻开一些来历不明的邮件及附件,不要上一些不太领会的网站,不要运行从互联网上下载的未经杀毒处置的软件等,那些需要的习惯会使您的计算机愈加平安。
2.封闭或删除系统中不需要的办事。默认情状下,操做系统会安拆一些辅助办事,如 FTP 客户端、Telnet 和 Web 办事器。那些办事为进攻者供给了便利,而又对用户没有太高文用,若是删除它们,就能大大削减被进攻的可能性,加强电脑的平安。
3.经常晋级平安补钉。据统计,大部门收集病毒都是通过系统平安破绽停止传布的,象冲击波、大无极、SCO炸弹、收集天空等。破绽的存在,会形成杀毒杀不清洁的情况,所以应该按期到微软网站去下载最新的平安补钉,堵住系统的破绽。
4.利用冗杂的密码。有许多收集病毒是通过揣测简单密码的体例进攻系统的,因而利用冗杂的密码,将会大大进步计算机的平安系数,削减被病毒进攻的概率。
5.快速隔离受传染的计算机。当您的计算机发现病毒或异常时应立即断网,以避免计算机遭到更多的传染,或者成为传布源,再次传染其它计算机。
6.领会一些病毒常识。如许您就能够及时发现新病毒并采纳响应办法,在关键时刻使本身的计算机免受病毒毁坏。若是能领会一些注册表常识,就能够按期看一看注册表的自启动项能否有可疑键值;若是能领会一些内存常识,就能够经常看看内存中能否有可疑法式。
7.更好是安拆专业的防毒软件停止全面监控。在病毒日益增加的今天,利用杀毒软件停止防毒,是越来越经济的选择,不外用户在安拆了反病毒软件之后,应该经常停止晋级、将一些次要监控翻开(如邮件监控)、碰到问题要及时上报,如许才气实正保障计算机的平安。
陈述人:caijun