Win32.Troj.QQRobber.fb
病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
98479
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一种盗取QQ号及密码的木马病毒。它会自动关闭系统运行中的各种反病毒软件,防火墙和自己同类盗号的一些软件,而且它除了盗号还会自动下载并执行指定网络路径另一个病毒文件。该病毒在系统了装了一个监视QQ登陆窗口的钩子盗取QQ号码,并把QQ用户的帐号密码发送到指定邮箱。它不会自动传播,建议QQ用户不要随便打开生疏人发来的文件和email的附件等不明文件。
1、生成的文件
%SystemRoot%\system32\LOvEmE.exe
%SystemRoot%\Deleteme.bat
%SystemRoot%\system32\KvNative.bak(若KvNative.exe存在)
%ProgramFiles%\Tencent\QQ\npkcrypt.bak(若npkcrypt.exe存在)
2、删除的文件
%SystemRoot%\system32\KvNative.exe
%ProgramFiles%\Tencent\QQ\npkcrypt.sys
%原病毒文件%
3、注册表添加启动项
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
"LOveme"="%SystemRoot%\system32\LOveme.exe"
4、该病毒自动关闭的程序名和程序类名列表
KmailMon.EXE
FireTray.exe
UpdaterUI.exe
TBMon.exe
SHSTAT.EXE
RAV.EXE
RAVMON.EXE
RAVTIMER.EXE
Iparmor.exe
MAILMON.EXE
KAVPFW.EXE
KPFW32.EXE
KAVStart.exe
TrojanDetector.EXE
RegGuide.exe
KVFW.EXE
KAVPLUS.EXE
KWATCHUI.EXE
KPOPMON.EXE
KAV32.EXE
CCAPP.EXE
MCAGENT.EXE
MCVSESCN.EXE
MSKAGENT.EXE
EGHOST.EXE
KWatch9x.exe
KvDetech.exe
KVCenter.kxp
UIHost.exe
WNILOGON.exe
KASMain.EXE
RavTask.exe
SmartUp.exe
KATMain.EXE
TrojDie_Frame
KvXP_ExpertFrame
Jiangmin
RegistryMonitor
KVXP_Monitor
瑞星杀毒软件下载版
金山毒霸2005
卡巴斯基反病毒单机版
SymantecAntiVirus企业版
江民杀毒软件
KV2004:实时监视
RavMon.exe
RavMonClass
TfLockDownMain
ZoneAlarm
ZAFrameWnd
天网防火墙个人版
Tapplication
天网防火墙企业版
噬菌体
木马克星
5、删除的注册表启动项
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\iDubaPersonal
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\KvPpWall_autorun
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\SonudMan
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\RfwMain
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\KavStart
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\VSOCheckTask
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\MSKDetectorExe
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\RavMon
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\RavTimer
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\RavTask
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\KvMonXP
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\KAVRun
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\KpopMon
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\Kulansyn
HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run\KavPFW
HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run\KvXP
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\ccApp
5、网址信息
http://www.c***.net/asp/gsm/ip.asp
http://alaqq***.3322.org/new.jpg
alaqq***.3322.org
6、生成的Deleteme.bat内容
-----------------------------------
:try
del"%原病毒文件%"
ifexist"%原病毒文件%"gototry
del%0
-----------------------------------
