最近盜取QQ密碼的病毒又出現(xiàn)了一個(gè)名字為Trojan.QQPassRecoder.12288的木馬,通過該木馬可以輕松地將QQ的密碼盜取出來(lái)。
中文名稱:QQ 密碼記錄器3
病毒類型:木馬程序
病毒長(zhǎng)度:12KB
警惕程度:★★★★★
病毒特征:
Trojan.QQPassRecoder.12288是一個(gè)用Delphi編寫的木馬程序,該程序采用UPX壓縮,被描述為HackSoft-Oicq-Password-Recoder。中了該病毒后,使用QQ發(fā)送消息時(shí)會(huì)自動(dòng)添加“http://xmc.nease.net,快去看看你感興趣的”這句話,該木馬還會(huì)反復(fù)加載而消耗系統(tǒng)資源。它具有以下幾種特征:
1.一旦中了此病毒,該病毒則會(huì)在系統(tǒng)目錄下生成Svh0st.exe、Scanregw.exe和Internets.exe三個(gè)拷貝。
2.它會(huì)對(duì)注冊(cè)表進(jìn)行修改,將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Scanreg的內(nèi)容改為:%windir%\system32\Scanregw.exe,修改了exe文件和com文件的默認(rèn)打開方式;將HKEY_CLASSES_ROOT\comfile\shell\open\command的內(nèi)容修改為了%windir%\System32\Internets.exe %1 % *;將HKEY_CLASSES_ROOT\exefile\shell\open\command的內(nèi)容修改為%windir%\System32\svh0st.exe %1 % *。通過上面的這些修改,可以輕松地將QQ的密碼盜取出來(lái)。
防范措施:
1.運(yùn)行注冊(cè)表編輯器(regedit),刪除所有名為Svh0st.exe、Scanregw.exe和Internets.exe的文件。
2.將HKEY_CLASSES_ROOT\com
file\shell\open\command和HKEY_CLASSES_ROOT\exefile\shell\open\command修改為%1 % *,刪掉HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Scanreg項(xiàng)目,最后刪掉系統(tǒng)目錄的Svh0st.exe、Scanregw.exe和Internets.exe文件。
注意:修改注冊(cè)表前最好先備份,以免由于判斷失誤造成系統(tǒng)不能啟動(dòng)。
