homjay 发表于 2005-6-1 21:27:01

QQ大盗”病毒技术分析及防范方法

<table border=0 cellspacing=0 cellpadding=3><TR><TD><b>“QQ大盗”病毒技术分析及防范方法 </b></TD></TR><TR><TD><font color="#fb5104">作者:魏伟</font> 发文时间:2005.05.10</TD></TR><TR><TD><IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://tech.ccidnet.com/publeadbbsfile/tech/line_4.jpg" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0></TD></TR></table><table border=0 cellspacing=0 cellpadding=3><TR><TD> --&gt;&lt;SPAN id=tech_art_center&gt;&lt;!-- Copyright 1999-2000 ThruPort Technologies <a target=_blank href=http://www.thruport.com>http://www.thruport.com</a> --&gt;&lt;!-- end dynamic banner insert --&gt;&lt;/SPAN&gt;&lt;SPAN class=myp111&gt;&lt;font id=zoom&gt;&lt;DESCRIPT&gt;<font color="red">病毒名称:Trojan/PSW.QQpass.br</font>&lt;/DESCRIPT&gt; <br>
<br>
&lt;DESCRIPT&gt;<font color="red">中 文 名:“QQ大盗”</font>&lt;/DESCRIPT&gt; <br>
<br>
&lt;DESCRIPT&gt;<font color="red">病毒类型:木马</font>&lt;/DESCRIPT&gt; <br>
<br>
&lt;DESCRIPT&gt;<font color="red">危害等级:★★</font>&lt;/DESCRIPT&gt; <br>
<br>
&lt;DESCRIPT&gt;<font color="red">影响平台:Win 9x/2000/XP/NT/Me/2003</font>&lt;/DESCRIPT&gt; <br>
<br>
“QQ大盗”病毒可以利用IE浏览器mht漏洞,通过利用该漏洞编写的恶意网页代码,自动下载一个网上的chm文件,“QQ大盗”病毒即内嵌其中并开始自动运行。 <br>
<br>
1、该木马程序运行后,将在系统文件夹生成:%SystemDir%\NTdhcp.exe,28400字节。 <br>
<br>
&lt;DESCRIPT&gt;<p align=center><IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://tech.ccidnet.com/pub/attachment/2005/5/431865.jpg" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0></p>&lt;/DESCRIPT&gt;<br>
<br>
并添加注册表项: <br>
<br>
&lt;DESCRIPT&gt;&lt;TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1&gt;&lt;TBODY&gt;<TR><TD><br>
&quot;NTdhcp&quot; = %SystemDir%\NTdhcp.exe</TD></TR>&lt;/TBODY&gt;</table>&lt;/DESCRIPT&gt;<br>
<br>
这样,在Windows启动时,木马得以自动运行。 <br>
<br>
&lt;DESCRIPT&gt;<p align=center><IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://tech.ccidnet.com/pub/attachment/2005/5/431867.jpg" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0></p>&lt;/DESCRIPT&gt;<br>
<br>
2、“QQ大盗”病毒(Trojan/PSW.QQpass.br)的盗取目标是用户的QQ号、密码和详细的QQ资料信息。 <br>
<br>
&lt;DESCRIPT&gt;<b>“QQ大盗”病毒防范措施:</b>&lt;/DESCRIPT&gt; <br>
<br>
&lt;DESCRIPT&gt;<i>未感染病毒用户:</i>&lt;/DESCRIPT&gt;升级杀毒软件(如江民杀毒软件KV2005)病毒库到最新病毒库,开启病毒实监控。将系统打上MHT文件下载执行漏洞补丁程序。 <br>
<br>
微软官方补丁网址:<a target=_blank href=http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx>http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx</a>。 <br>
<br>
已感染病毒的用户:首先需安装正版杀毒软件并升级最新病毒库,对电脑进行全盘查杀。运行REGEDIT注册表编辑器,定位到,将RUN下面的键值&quot;NTdhcp&quot; = %SystemDir%\NTdhcp.exe删除。 <br>
<br>
&lt;DESCRIPT&gt;<i>手工清除办法:</i>&lt;/DESCRIPT&gt; <br>
<br>
首先运行任务管理器,查找并结束掉NTdhcp.exe进程。 <br>
<br>
按照病毒文件所在位置System\NTdhcp.exe找到系统目录下的病毒文件,手工删除,。运行REGEDIT注册表编辑器,定位到 <br>
<br>
,将RUN下面的键值&quot;NTdhcp&quot; = %SystemDir%\NTdhcp.exe删除。 <br>
<br>
&lt;DESCRIPT&gt;<i>系统加固办法:</i>&lt;/DESCRIPT&gt; <br>
<br>
1、使用WINDOWS UPDATE功能自动更新系统补丁。 <br>
<br>
2、下载安装MHT文件下载执行漏洞补丁。 <br>
<br>
MHT漏洞官方补丁下载地址:<a target=_blank href=http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx>http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx</a>。(T114)&lt;/font&gt;&lt;/SPAN&gt; <p align=center><br>
</p>&lt;/TBODY&gt;&lt;/table&gt;

homjay 发表于 2005-6-1 21:31:41

re:Phishing即网络钓鱼。“Phish...

Phishing即网络钓鱼。“Phishing”与“Fishing”发音相同,是常见的网络诈欺行为。通常利用电子邮件引诱用户到伪装网站,以套取用户的个人资料如信用卡号码。 <br>
<br>
“Phishing”该词嫁接了fishing和phone,该词起源于1996年左右,黑客起初利用电子邮件作为诱饵,盗用美国在线的帐号和密码,后来鉴于最早的黑客是用电话线作案,所以黑客们常常用Ph来取代f,就形成了今天的Phishing一词。 <br>
页: [1]
查看完整版本: QQ大盗”病毒技术分析及防范方法