Win32.Troj.PswQQ.hs

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

29177

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒是一种盗取QQ号码的木马病毒。主要是将xiaran.vxd嵌入explorer随机启动盗取QQ号码，同时它会监视系统，假如没有ListBox为类名的窗口，假如没有则新建一个，并连接到指定服务器进行聊天，它还会自动下载并运行另一个病毒程序。病毒主要功能都是有xiaran.vxd实行。

1、生成文件

%ProgramFiles%\InternetExplorer\ConnectionWizard\xiaran.dll

%ProgramFiles%\InternetExplorer\ConnectionWizard\xiaran.vxd

%ProgramFiles%\InternetExplorer\ConnectionWizard\xiaran.tmp

2、修改注册表

HKLM\SOFTWARE\Classes\CLSID\{02315C1A-9BA9-4B7C-A432-29995F78DF28\InProcServer32

"(Default)"="%ProgramFiles%\InternetExplorer\ConnectionWizard\xiaran.vxd"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{02315C1A-9BA9-4B7C-A432-29995F78DF28}

3、生成的批处理文件

_xr.bat

------------------------------------------------

:try

del"%原病毒路径%"

ifexist"%原病毒路径%"gototry

del%0

-------------------------------------------------

4、从下列网址下载病毒:

http://chajia**.com/hm.txt

61.1**.51.31/ad.exe

5、删除QQ保护文件

npkcrypt.sys

6、该病毒将盗取的QQ号码及密码上传到指定网页。