QQ大盗”病毒技术分析及防范方法

“QQ大盗”病毒技术分析及防范方法

作者：魏伟 发文时间：2005.05.10

</TBODY>

--><SPAN id=tech_art_center><!-- Copyright 1999-2000 ThruPort Technologies http://www.thruport.com --><!-- end dynamic banner insert --></SPAN><SPAN class=myp111><font id=zoom><DESCRIPT>病毒名称：Trojan/PSW.QQpass.br</DESCRIPT> <DESCRIPT>中 文 名：“QQ大盗”</DESCRIPT> <DESCRIPT>病毒类型：木马</DESCRIPT> <DESCRIPT>危害等级：★★</DESCRIPT> <DESCRIPT>影响平台：Win 9x/2000/XP/NT/Me/2003</DESCRIPT> “QQ大盗”病毒可以利用IE浏览器mht漏洞，通过利用该漏洞编写的恶意网页代码，自动下载一个网上的chm文件，“QQ大盗”病毒即内嵌其中并开始自动运行。 1、该木马程序运行后，将在系统文件夹生成：%SystemDir%\NTdhcp.exe，28400字节。 <DESCRIPT> </DESCRIPT> 并添加注册表项： <DESCRIPT><TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1><TBODY>

[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NTdhcp" = %SystemDir%\NTdhcp.exe

</DESCRIPT>

这样，在Windows启动时，木马得以自动运行。

<DESCRIPT>

</DESCRIPT>

2、“QQ大盗”病毒（Trojan/PSW.QQpass.br）的盗取目标是用户的QQ号、密码和详细的QQ资料信息。

<DESCRIPT>“QQ大盗”病毒防范措施：</DESCRIPT>

<DESCRIPT>未感染病毒用户：</DESCRIPT>升级杀毒软件（如江民杀毒软件KV2005）病毒库到最新病毒库，开启病毒实监控。将系统打上MHT文件下载执行漏洞补丁程序。

微软官方补丁网址：http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx。

已感染病毒的用户：首先需安装正版杀毒软件并升级最新病毒库，对电脑进行全盘查杀。运行REGEDIT注册表编辑器，定位到[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，将RUN下面的键值"NTdhcp" = %SystemDir%\NTdhcp.exe删除。

<DESCRIPT>手工清除办法：</DESCRIPT>

首先运行任务管理器，查找并结束掉NTdhcp.exe进程。

按照病毒文件所在位置System\NTdhcp.exe找到系统目录下的病毒文件，手工删除，。运行REGEDIT注册表编辑器，定位到

[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，将RUN下面的键值"NTdhcp" = %SystemDir%\NTdhcp.exe删除。

<DESCRIPT>系统加固办法：</DESCRIPT>

1、使用WINDOWS UPDATE功能自动更新系统补丁。

2、下载安装MHT文件下载执行漏洞补丁。

MHT漏洞官方补丁下载地址：http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx。(T114)</font></SPAN>

</TBODY></table>

Phishing即网络钓鱼。“Phishing”与“Fishing”发音相同，是常见的网络诈欺行为。通常利用电子邮件引诱用户到伪装网站，以套取用户的个人资料如信用卡号码。

“Phishing”该词嫁接了fishing和phone，该词起源于1996年左右，黑客起初利用电子邮件作为诱饵，盗用美国在线的帐号和密码，后来鉴于最早的黑客是用电话线作案，所以黑客们常常用Ph来取代f，就形成了今天的Phishing一词。