病毒名称:Trojan/QQMsg.Axela
病毒类型:QQ尾巴病毒
传播方式:网络
病毒大小:18K~20K
危害等级:★★★
近日,
江民反病毒中心监测到, QQ尾巴木马“缘”(Trojan/QQMsg.Axela)在最近两周又死灰复燃,接连诞生了多个变种。该病毒曾在今年3~6月份感染了大量国内QQ用户,这次更是在10月22日至10月24日周末三天中一下推出12个新变种,再次造成大面积QQ用户中招。
这些新变种利用KV杀毒软件3月19日以后的病毒库均可报告疑似病毒。升级到10月25日病毒库,即可全面查杀该病毒家族目前总共35个变种。下面是技术分析报告:
1. 病毒会通过QQ聊天软件发送包含病毒网址的消息,“缘”木马病毒发送的消息,最明显的特点是会包含消息接收者的QQ昵称,这也增强了它的欺骗性,请广大QQ用户一定小心。如图:
病毒类型:QQ尾巴病毒
传播方式:网络
病毒大小:18K~20K
危害等级:★★★
近日,
江民反病毒中心监测到, QQ尾巴木马“缘”(Trojan/QQMsg.Axela)在最近两周又死灰复燃,接连诞生了多个变种。该病毒曾在今年3~6月份感染了大量国内QQ用户,这次更是在10月22日至10月24日周末三天中一下推出12个新变种,再次造成大面积QQ用户中招。
这些新变种利用KV杀毒软件3月19日以后的病毒库均可报告疑似病毒。升级到10月25日病毒库,即可全面查杀该病毒家族目前总共35个变种。下面是技术分析报告:
1. 病毒会通过QQ聊天软件发送包含病毒网址的消息,“缘”木马病毒发送的消息,最明显的特点是会包含消息接收者的QQ昵称,这也增强了它的欺骗性,请广大QQ用户一定小心。如图:
2. 病毒运行后,将创建下列文件:
%SystemDir%n0tepad.exe, 病毒本身
%SystemDir%taskmgr.exe, 病毒本身
%SystemDir%windll.dll, 20字节,文本文件,包含侮辱性文字
%WinDir%n0tepad.exe, 病毒本身
3. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun]
"taskmgr" = %SystemDir%taskmgr.exe
这样,在Windows启动时,病毒就可以自动执行。
4. 病毒通过修改下列注册表键值,修改文件关联:
[HKEY_CLASSES_ROOTtxtfileshellopencommand]
"" = N0TEPAD.EXE %1
这样,用户打开任何txt文件,都会再次运行病毒程序。
如果您在QQ上收到了与上文描述类似的消息,千万不要点击消息中的病毒网址。立即把KV系列杀毒软件病毒库升级到10月25日,打开实时监控,保护您的系统不受其侵害。
QQ尾巴木马“缘”病毒分析报告:https://www.upan.cc/security/prevent/2009/youpan_138.html
