“QQ大盜”病毒傳播、技術分析報告及防範

病毒名稱：Trojan/

　　中 文 名：“QQ大盜”

　　病毒類型：木馬

　　危害等級：★★

　　影響平台：Win 9x/2000/XP/NT/Me/2003

　　“QQ大盜”病毒可以利用IE瀏覽器mht漏洞，通過利用該漏洞編寫的惡意網頁代碼，自動下載一個網上的chm文件， “QQ大盜”病毒即內嵌其中並開始自動運行。

　　1、 該木馬程序運行後，將在系統文件夾生成：%SystemDir%，28400字節。

　　

　　（圖一）

　　並添加註冊表項：[HKEY_LOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun]“NTdhcp” = %SystemDir%這樣，在Windows啟動時，木馬得以自動運行。

　　

　　（圖二）

　　2、 “QQ大盜”病毒（Trojan/）的盜取目標是用户的QQ號、密碼和詳細的QQ資料信息。

　　“QQ大盜”病毒防範措施：

　　未感染病毒用户：升級殺毒軟件（如江民殺毒軟件KV2005）病毒庫到最新病毒庫，開啟病毒實監控。將系統打上MHT文件下載執行漏洞補丁程序。

　　微軟官方補丁網址：

　　

　　已感染病毒的用户：首先需安裝正版殺毒軟件並升級最新病毒庫，對電腦進行全盤查殺。運行REGEDIT註冊表編輯器，定位到[HKEY_LOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun]，將RUN下面的鍵值“NTdhcp” = %SystemDir%刪除。

　　手工清除辦法：

　　首先運行任務管理器，查找並結束掉進程

　　按照病毒文件所在位置System找到系統目錄下的病毒文件，手工刪除，。運行REGEDIT註冊表編輯器，定位到[HKEY_LOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun]，將RUN下面的鍵值“NTdhcp” = %SystemDir%刪除。

　　系統加固辦法：

　　1、使用WINDOWS UPDATE功能自動更新系統補丁。

　　2、下載安裝MHT文件下載執行漏洞補丁。

　　MHT漏洞官方補丁下載地址：