上一篇：控制网吧机器玩转主机数据库

QQ大盗传播技术分析及防范

中文名：“qq大盗” 病毒类型：木马危害等级：★★ 影响平台：win 9x/2000/xp/nt/me/2003
“qq大盗”病毒可以利用ie浏览器mht漏洞，通过利用该漏洞编写的恶意网页代码，自动下载一个网上的chm文件，“qq大盗”病毒即内嵌其中并开始自动运行。
1、该木马程序运行后，将在系统文件夹生成：%systemdir%\ntdhcp.exe，28400字节。

并添加注册表项：
[hkey_localmachine\software\microsoft\windows\currentversion\run]
“ntdhcp” = %systemdir%\ntdhcp.exe
这样，在windows启动时，木马得以自动运行。

2、 “qq大盗”病毒(trojan/psw.qqpass.br)的盗取目标是用户的qq号、密码和详细的qq资料信息。
“qq大盗”病毒防范措施：
未感染病毒用户：升级杀毒软件(如江民杀毒软件kv2005)病毒库到最新病毒库，开启病毒实监控。将系统打上mht文件下载执行漏洞补丁程序。
微软官方补丁网址：www.microsoft.com/technet/security/bulletin/ms04-013.mspx
已感染病毒的用户：首先需安装正版杀毒软件并升级最新病毒库，对电脑进行全盘查杀。运行regedit注册表编辑器，定位到
[hkey_localmachine\software\microsoft\windows\currentversion\run]，将run下面的键值“ntdhcp” = %systemdir%\ntdhcp.exe删除。
手工清除办法：
首先运行任务管理器，查找并结束掉ntdhcp.exe进程
按照病毒文件所在位置system\ntdhcp.exe找到系统目录下的病毒文件，手工删除，。运行regedit注册表编辑器，定位到
[hkey_localmachine\software\microsoft\windows\currentversion\run]，将run下面的键值“ntdhcp” = %systemdir%\ntdhcp.exe删除。
系统加固办法：
1、使用windows update功能自动更新系统补丁。
2、下载安装mht文件下载执行漏洞补丁。
mht漏洞官方补丁下载地址：
www.microsoft.com/technet/security/bulletin/ms04-013.mspx

（）

下一篇：秘密穿过内网防火墙

↓相关文章：