这是通过QQ发送诱惑信息导致用户上当的病毒。
一旦执行,病毒将执行如下操作:
1.复制自己到下列目录:
%WINDIR%\INTRENAT.EXE
这是盗取游戏:“传奇”登录信息的木马
%WINDIR%\WINSOCKS.DLL
这个文件与上一个文件是同一个文件
%SYSDIR%\SYSLGOG.EXE 这是病毒自身
%SYSDIR%\SYSNAT.EXE 这是病毒自身
%SYSDIR%\UUDATEE.EXE 这是病毒自身
2.注册自己为服务进程。
3.添加如下值:
"windows update"=%SYSDIR%\UUDATEE.EXE
到注册表键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
Currentversion\RunServices
下,这样病毒就可以随系统自启动修改文本文件关联,使之指向病毒,这样打开任何文本<扩展名为.TXT>时就会运行病毒,其相应的注册表
键值为:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(默认) : %SYSTEM%\SYSLGOG.EXE %1
修改系统文件system.ini,这是病毒自启动的伎俩
SYSTEM.INI
[BOOT]
SHELL = EXPlorer.exe %SYSTEM%\SYSNAT.EXE
4.通过QQ发送诱惑性信息给在线好友,信息一般为:
“...某某网站不错...”、“...我的照片...”之类
信息混杂在用户发送的信息中,极易造成用户误解,从而导致用户访问此类网站;
而此网站又利用IE漏洞,配置木马在网页中,当用户访问时会自动下载执行木马<未打补丁的系统>
5.建议
如果用户收到类似信息,最好不要连接那个站点或者将IE打上最新补丁才去访问。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-2-17
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
