减小字体
增大字体- ·上一篇文章:概述计算机病毒的演变历史
- ·下一篇文章:“黑洞”窃取个人隐私手段毒辣
图文详解 QQ病毒查杀实战
同时user.dat和system.dat的最后访问时间也被修改了,熟悉注册表的朋友都知道,这2个文件正是注册表的真实文件,这就从侧面提示了提示我们,我运行的qq病毒软件修改了注册表。
javascript:window.open(this.src);" style="cursor: pointer;"/>
接下来到system目录下去看看:
发现该目录下增加了一个名为explorer.exe的程序(这个程序跟资源管理器同名,不少的病毒/木马都喜欢取一些跟系统本身固有程序类似的名字来混辖视听,从下图可以看出,图标也是完全不同的);
增加了一个名为:winms.exe的程序
增加了一个uhqq.dll的程序
javascript:window.open(this.src);" style="cursor: pointer;"/>
系统盘就找到这么多,接着到其他盘去看看
来到d盘根目录,发现增加了一个autorun.inf文件。
javascript:window.open(this.src);" style="cursor: pointer;"/>
是个文本文件,打开一看,原来是指向D:\Program Files\FNYP.EXE。autorun.inf本来的作用是访问该分区的时候自动执行某些任务,例如光驱自动读盘就是用它实现的,但现在很多病毒也喜欢玩这个。Ok,不用说了,这个也是病毒干的,至于是哪个病毒呢?我猜测是Trojan.PSW.QQPass这个,因为图标同样是delphi的程序图标。
javascript:window.open(this.src);" style="cursor: pointer;"/>
javascript:window.open(this.src);" style="cursor: pointer;"/>接下来到system目录下去看看:
发现该目录下增加了一个名为explorer.exe的程序(这个程序跟资源管理器同名,不少的病毒/木马都喜欢取一些跟系统本身固有程序类似的名字来混辖视听,从下图可以看出,图标也是完全不同的);
增加了一个名为:winms.exe的程序
增加了一个uhqq.dll的程序
javascript:window.open(this.src);" style="cursor: pointer;"/>系统盘就找到这么多,接着到其他盘去看看
来到d盘根目录,发现增加了一个autorun.inf文件。
javascript:window.open(this.src);" style="cursor: pointer;"/>是个文本文件,打开一看,原来是指向D:\Program Files\FNYP.EXE。autorun.inf本来的作用是访问该分区的时候自动执行某些任务,例如光驱自动读盘就是用它实现的,但现在很多病毒也喜欢玩这个。Ok,不用说了,这个也是病毒干的,至于是哪个病毒呢?我猜测是Trojan.PSW.QQPass这个,因为图标同样是delphi的程序图标。
javascript:window.open(this.src);" style="cursor: pointer;"/>