瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 最新QQ病毒:网址信息包含go3.icpcn.com/mm.exe

1   1  /  1  页   跳转

最新QQ病毒:网址信息包含go3.icpcn.com/mm.exe

收藏
CrossVirus
头像
初生襁褓狮
  • 帖子:1756
  • 注册: 2004-06-29
  • 来自:
发表于: 2005-09-03 19:51 | 显示全部 短消息 资料
字号: 1楼

最新QQ病毒:网址信息包含go3.icpcn.com/mm.exe

转自:

http://virustrader.80port.org/







症状:
QQ自动发送如下信息:
腾讯最新消息:为了广大朋友对腾讯公司的支持,现在推出最新,最安全的QQ挂机软件,挂5个小时可以抵上线8小时,不用开机很快成为太阳不再是梦,请大家下载,登录QQ挂机,就有机会免费获取50个QB详情请看:病毒网址信息

病毒运行后生成文件:
%system%\services.exe
%windows%\IsUninst.exe
%windows%\IsUn0804.exe
%windows%\IsUn0404.exe
%system32%\AUTOEXEC.BAT
%system32%\BOOTEX.LOG
打开方式为"%system%\services.exe"
修改系统屏幕保护程序:
%system32%\logon.scr
%system32%\scrnsave.scr
%system32%\ss3dfo.scr
%system32%\ssbezier.scr
%system32%\ssflwbox.scr
%system32%\ssmarque.scr
%system32%\ssmaze.scr
%system32%\ssmyst.scr
%system32%\sspipes.scr
%system32%\ssstars.scr
%system32%\sstext3d.scr
%system32%\频道屏幕保护程序.scr
修改Real的升级程序:
%SystemRoot%\Program Files\Common Files\Real\Update_OB\realsched.exe
将屏幕保护程序设为"%system32%\sstext3d.scr",启动时间为60秒.
HKCR\SOFTWARE
HKCU\Before\\info
保存病毒信息
HKCR\txtfile\shell\open\command\\
"%system%\services.exe" "%1"
修改文本Txt文件关联
HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run\\internet
"%system%\services.exe"
病毒自启动项

清除:

1,首先用第三方进程管理软件结束病毒进程(如Process Explorer,IceSword等):
%system%\services.exe

2,用Regfix等注册表修复软件修复文本Txt文件关联,或手工修复:
修改注册表
HKCR\txtfile\shell\open\command\\为
"%SystemRoot%\system32\NOTEPAD.EXE %1"(不包括引号)

3,删除病毒注册表添加信息:
HKCR\SOFTWARE
HKCU\Before\\info
HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run\\internet
"%system%\services.exe"

4,删除如下病毒文件:
%system%\services.exe
%windows%\IsUninst.exe
%windows%\IsUn0804.exe
%windows%\IsUn0404.exe
%system32%\AUTOEXEC.BAT
%system32%\BOOTEX.LOG
%system32%\logon.scr
%system32%\scrnsave.scr
%system32%\ss3dfo.scr
%system32%\ssbezier.scr
%system32%\ssflwbox.scr
%system32%\ssmarque.scr
%system32%\ssmaze.scr
%system32%\ssmyst.scr
%system32%\sspipes.scr
%system32%\ssstars.scr
%system32%\sstext3d.scr
%system32%\频道屏幕保护程序.scr
%SystemRoot%\Program Files\Common Files\Real\Update_OB\realsched.exe

删除病毒文件后如果需要:
系统屏保或Real文件可重新安装.

最后,不中毒就不用清除,这个病毒的传播方式还是老掉牙的QQ发送网址信息,希望大家不要点击陌生信息,做到就不可能中毒.








最后编辑2005-09-03 21:02:27
分享到:
gototop
 
CrossVirus
头像
初生襁褓狮
  • 帖子:1756
  • 注册: 2004-06-29
  • 来自:
发表于: 2005-09-03 19:57 | 显示全部 短消息 资料
字号: 2楼

附件附件:

下载次数:0
文件类型:application/octet-stream
文件大小:
上传时间:2005-9-3 19:57:13
描述:
gototop
 
CrossVirus
头像
初生襁褓狮
  • 帖子:1756
  • 注册: 2004-06-29
  • 来自:
发表于: 2005-09-03 21:02 | 显示全部 短消息 资料
字号: 3楼

Antivirus Version Update Result
AntiVir 6.31.1.0 09.02.2005 TR/PSW.Mifeng.M
Avast 4.6.695.0 09.02.2005 Win32:Trojan-gen. {Other}
AVG 718 08.31.2005 no virus found
Avira 6.31.1.0 09.02.2005 no virus found
BitDefender 7.0 09.02.2005 Trojan.PWS.Mifeng.C
CAT-QuickHeal 8.00 09.03.2005 no virus found
ClamAV devel-20050725 09.03.2005 no virus found
DrWeb 4.32b 09.02.2005 no virus found
eTrust-Iris 7.1.194.0 09.02.2005 no virus found
eTrust-Vet 11.9.1.0 09.02.2005 no virus found
Fortinet 2.41.0.0 09.03.2005 W32/Mifeng.M-pws
F-Prot 3.16c 09.02.2005 no virus found
Ikarus 0.2.59.0 09.02.2005 no virus found
Kaspersky 4.0.2.24 09.03.2005 Trojan-PSW.Win32.Mifeng.m
McAfee 4573 09.02.2005 PWS-Mifeng
NOD32v2 1.1208 09.02.2005 no virus found
Norman 5.70.10 09.02.2005 no virus found
Panda 8.02.00 09.02.2005 Bck/Mifeng.A
Sophos 3.97.0 09.02.2005 Troj/Mifeng-C
Symantec 8.0 09.02.2005 no virus found
TheHacker 5.8.2.099 09.02.2005 no virus found
VBA32 3.10.4 09.02.2005 Trojan-PSW.Win32.Mifeng.m
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT