标题:
[
病毒查杀
]
NTdhcp.exe 病毒
[打印本页]
作者:
shillan
时间:
2005-6-22 18:03
标题:
NTdhcp.exe 病毒
trojan-psw.win32.qqrob.e
破坏方法:偷密码的木马。自称是:ala.qqrobber v1.3
破坏行为如下:
1。采用欺骗性质的图标,自称是某某的照片,诱骗用户双击运行。
2。复制自身到系统目录,命名为“ntdhcp.exe”,把原来的自己删除。
3。添加到注册表启动项,例如:
hklm\software\microsoft\windows\currentversion\run
\ntdhcp = "c:\winnt\system32\ntdhcp.exe"
4。终止下列反病毒软件
kvxp.kxp
kvfw.exe
kvmonxp.kxp
symantec antivirus 企业版
江民杀毒软件 kv2004:实时监视
ravmon.exe
tflockdownmain
zonealarm
zaframewnd
天网防火墙个人版
天网防火墙企业版
噬菌体
木马克星
eghost.exe
mailmon.exe
kavpfw.exe
密码防盗专家
5。搜寻qq登陆窗口,取得密码,发送出去(alaqq13.3322.org)
病毒会搜寻下列关键词:
注册新号码
qq号码:
qq密码:
登录模式:
申请密码保护
trojan.psw.qqrobber.14d
破坏方法:窃取oicq帐号密码的木马病毒
病毒采用delphi编写。
病毒运行后有以下行为:
一、将自己复制到%sysdir%目录下,文件名为"ntdhcp.exe"。
二、修改注册表以下键值以达到其自启动的目的:
1.hkey_local_machine\software\microsoft\windows\currentversion\run
增加数据项:"ntdhcp" 数据值为:%sysdir%\ntdhcp.exe
三、查找包含以下字符串的窗体,并将它们关闭:
"卡巴斯基反病毒单机版"
"symantec antivirus 企业版"
"江民杀毒软件 kv2004:实时监视"
"ravmon.exe"
"zonealarm"
"天网防火墙个人版"
"天网防火墙企业版"
"噬菌体"
"木马克星"
四、查找并结束以下进程:
"firetray.exe"、"updaterui.exe"、"tbmon.exe"、"shstat.exe"、
"rav.exe"、"ravmon.exe"、"ravtimer.exe"、"kvxp.kxp"、
"kvcenter.kxp"、"iparmor.exe"、"mailmon.exe"、"kavpfw.exe"、
"kvfw.exe"、"kvmonxp.kxp"、"kavplus.exe"、"kwatchui.exe"、
"kpopmon.exe"、"kav32.exe"、"ccapp.exe"、"mcagent.exe"、
"mcvsescn.exe"、"mskagent.exe"、"eghost.exe"、"kregex.exe"、
"trojdie.kxp"、"kvol.exe"、"kvolself.exe"
五、查看当前系统是否存在以下服务:
"rsravmon"、"rsccenter"、"kvsrvxp"、"kavsvc"、"wscsvc"、"sndsrvc"、
"ccproxy"、"ccevtmgr"、"ccsetmgr"、"spbbcsvc"、"symantec core lc"、
"navapsvc"、"npfmntor"、"mskservice"、"mctaskmanager"、"mcshield"、
"mcafeeframework"
如果有,病毒将停止这些服务。
六、在后台运行,搜索oicq登录窗体,试图窃取oicq登录帐号和密码,并将窃取的信息发送到指定信箱。
trojan.psw.qqpass.heu
破坏方法:窃取oicq密码的木马程序
1.病毒启动后将自己拷贝到系统目录下,命名为ntdhcp.exe,将自己注册为服务进程,在后台隐藏运行。
2. 添加下列启动项:
hkey_local_machine\software\microsoft\windows\currentversion\run
"ntdhcp" = %system%\ntdhcp.exe
3. 病毒在系统中搜索下列反病毒软件的窗体,并向其发动关闭消息:
〖列举启动〗
〖qq精灵〗
〖ie精灵〗
卡巴斯基反病毒单机版
symantec antivirus 企业版
江民杀毒软件 kv2004:实时监视
ravmon.exe
tflockdownmain
zonealarm
zaframewnd
天网防火墙个人版
tapplication
天网防火墙企业版
tform1
噬菌体
木马克星
4.病毒在进程中搜索下列进程并且将其强行结束:
firetray.exe,updaterui.exe,tbmon.exe,shstat.exe,rav.exe,ravmon.exe,
ravtimer.exe,kvxp.kxp,kvcenter.kxp,iparmor.exe,mailmon.exe,
kavpfw.exe,kmailmon.exe,kavstart.exe,katmain.exe,trojandetector.exe,
kvfw.exe,kvmonxp.kxp,kavplus.exe,kwatchui.exe,kpopmon.exe
,kav32.exe,ccapp.exe,mcagent.exe,mcvsescn.exe,mskagent.exe,
eghost.exe,kregex.exe,trojdie.kxp,kvol.exe,kvolself.exe,kwatch9x.exe,
softok.exe,explor.exe,windox.exe
5.病毒在后台不停的搜索oicq的登陆界面和注册新号码的界面,趁机窃取oicq的帐号和密码。
“qq大盗”防范方法
病毒名称:trojan/psw.qqpass.br
中 文 名:“qq大盗”
病毒类型:木马
危害等级:★★
影响平台:win 9x/2000/xp/nt/me/2003
“qq大盗”病毒可以利用ie浏览器mht漏洞,通过利用该漏洞编写的恶意网页代码,自动下载一个网上的chm文件,“qq大盗”病毒即内嵌其中并开始自动运行。
1、该木马程序运行后,将在系统文件夹生成:%systemdir%\\ntdhcp.exe,28400字节。
并添加注册表项:
[hkey_localmachine\\software\\microsoft\\windows\\currentversion\\run]
"ntdhcp" = %systemdir%\\ntdhcp.exe
这样,在windows启动时,木马得以自动运行。
2、“qq大盗”病毒(trojan/psw.qqpass.br)的盗取目标是用户的qq号、密码和详细的qq资料信息。
“qq大盗”病毒防范措施:
未感染病毒用户:升级杀毒软件(如江民杀毒软件kv2005)病毒库到最新病毒库,开启病毒实监控。将系统打上mht文件下载执行漏洞补丁程序。
微软官方补丁网址:http://www.microsoft.com/technet/security/bulletin/ms04-013.mspx。
已感染病毒的用户:首先需安装正版杀毒软件并升级最新病毒库,对电脑进行全盘查杀。运行regedit注册表编辑器,定位到[hkey_localmachine\\software\\microsoft\\windows\\currentversion\\run],将run下面的键值"ntdhcp" = %systemdir%\\ntdhcp.exe删除。
手工清除办法:
首先运行任务管理器,查找并结束掉ntdhcp.exe进程。
按照病毒文件所在位置system\\ntdhcp.exe找到系统目录下的病毒文件,手工删除,。运行regedit注册表编辑器,定位到
[hkey_localmachine\\software\\microsoft\\windows\\currentversion\\run],将run下面的键值"ntdhcp" = %systemdir%\\ntdhcp.exe删除。
系统加固办法:
1、使用windows update功能自动更新系统补丁。
2、下载安装mht文件下载执行漏洞补丁。
mht漏洞官方补丁下载地址:http://www.microsoft.com/technet/security/bulletin/ms04-013.mspx。
作者:
gxllx
时间:
2005-8-24 19:15
老大啊```实在是太
你了```我被这个病毒困扰了半个月了啊````烦死了```人都瘦了哇```以前一直不知道中的什么毒``现在终于好了`````
欢迎光临 逐梦论坛 (http://temp2023.zhumeng.org/)
Powered by Discuz! 7.2