扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:瑞星 来源:瑞星公司 2008年4月25日
关键字: qqkav.exe qqkav.exe下载
此程序为Worm类型程序
1、病毒运行后,先利用"LookupPrivilegeValueA","AdjustTokenPrivileges"提升自己的运行权限,然后遍历系统所有进程,查找下列进程:
Ras.exe 、avp.com 、avp.exe 、RavTask.exe 、Rav.exe 、RavMon.exe 、QQKav.exe 、QQDoctor.exe 、360Safe.exe 、360rpt.exe 、KAV32.exe、KAVDX.exe 、RfwMain.exe 等
如发现对应进程,则利用"TerminateProcess"关掉进程,使当前系统失去保护。
2、病毒将自身复制到系统盘\Program Files\Common Files\System\和\Program Files\Common Files\Microsoft Shared\目录,并利用GetDriveType判断,向可移动存储设备和本地磁盘写入autorun.inf和病毒本身(dhfmhuc.exe),其autorun.inf的内容如下:
[AutoRun]
open=dhfmhuc.exe
shell\open=打开(&O)
shell\open\Command=dhfmhuc.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=dhfmhuc.exe
3、病毒创建或修改以下注册表键:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
RavMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 360tray.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ AVP.EXE
等,在上述键值内,加入值Debugger = <木马路径>。这样,试图运行上述程序(Rav.exe,Ravmon.exe等)时,该木马会被自动执行。
4、病毒会创建2个病毒进程,当一个进程被结束时另一个进程重新创建它,实现双进程保护。病毒还会专门针对瑞星的开机扫描功能进行破坏,病毒将system32目录下的bsmain.exe改名为bsmains.exe 。
5、病毒会到指定网址下载可以程序并运行,地址如下:
http://www.XXXXXX.com/TDown1.exe
http://www. XXXXXX.com/ReadDown.txt
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到19.46.51版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者