软件名称:Trojan.PWS.QQPass.gKb6
影响的系统:Windows 95/98/Me/NT/2000/XP
不受影响的系统:Windows 3.X, Macintosh, Unix, Linux
病毒特点:这是一个盗取密码的木马程序,能够盗取密码及用户信息。由于它是一个Visual Basic应用程序,需要有Visual Basic库才能运行。运行后,它会搜索本地机器如下程序,一旦找到即会终止其进程:Kav9x.exe、Smenu.exe、Ravmon.exe等等。接着是将记事本程序%windir%Notepad.exe更名为%windir%Mspad.exe,并且将自身复制为如下文件:%windir%Eudcedit.exe、%windir%Freecell.exe、%windir%Kaedit.exe、%windir%Msscr.exe、%windir%Notepad.exe、%system%Mstray.exe等等。上述对系统的修改使得它与记事本进行关联,这样每次打开记事本文件时,木马都会运行。
更改注册表的情况:
1.将键值SystemKav %system%MSTRAY.EXE;
添加至[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run];
2.将[HKEY_LOCAL_MACHINE\Software\Classes\regfile\shel
lopen\command]默认键值改为(Default) %windir%KAEDIT.EXE %1;
3.将[HKEY_LOCAL_MACHINE\Software\Classes\scrfiles\hel
lopen\command]键值改为(Default) %windir%MSSCR.EXE %1;
4.将[HKEY_LOCAL_MACHINE\Software\Classes\chmfile\sh
ellopen\command]键值改为(Default) %windir%MSSCR.EXE %1。
通过上述对注册表的修改,使得系统运行、打开注册表文件、运行屏保及打开编译过的帮助文件等操作时,木马都会自动运行。这样木马可长期对机器中的QQ进行监控,一旦你在机器中运行了QQ,那么,木马就会发挥出其功能来。
删除方法:同时按下“Ctrl+Alt+Del”键查看运行的程序,如果发现可疑的程序,将它关闭。或者使用杀毒软件来解决,不过事先要对杀毒软件进行升级,再进行杀毒。