首页 | 账户管理 | 园区网管 | 信息公告 | 服务指南 | 安全警报 | 使用技巧 | 停封名单 | 规章制度
 
Trojan.Win32.QQFish.ba病毒分析报告
 

这是一个Delphi编写,模拟假QQ消息、欺骗用户,试图使用钓鱼网站来获取用户信息的病毒。

病毒运行后会进行以下操作:

1. 创建名为qq10000flag的互斥体防止进程中有多个病毒实例运行。

2. 添加以下注册表项实现开机自启动HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run "shadu" = QQXX.EXE

3. 修改hosts文件,把百度主页指向61.157.109.61,使得用户无法正常连接百度网站。

4. 获取本机的mac地址等信息发送到http://www.qq521.cn/install.asp以作感染统计。

5. 映像劫持360rpt.exe、360Safe.exe、360Tray.exe等安全软件。

6. 弹出一个假的QQ消息对话框,提示用户已中病毒,需要到以下网址下载专杀工具http://www.shadu.qq.com.qq021.com,该网站是作者精心做好的钓鱼网站,用来获取用户手机号等信息。

解决方法

1. 运行regedit.exe程序,删除病毒创建的自启动项并删除病毒程序。

2. 运行windows任务管理器,结束iexplorer.exe进程。

3. 打开我的电脑,工具-文件夹选项-查看选项卡 选择显示所有文件和文件夹,并把隐藏受保护的操作系统文件的钩去掉。打开%systemroot%\ system32\drivers\etc文件夹,用notepad.exe程序打开hosts文件,删除以下内容61.157.109.61 www.baidu.com。


来源:瑞星