金山截获木马病毒“QQ密码记录器” | ||
---|---|---|
http://www.sina.com.cn 2003年01月21日 11:49 新浪科技 | ||
喜欢网上聊天的朋友很多都有QQ密码被盗的不幸遭遇,这盗密码的罪魁祸首不少就是专门窃取QQ密码的木马病毒。好在魔高一尺,道高一丈,金山毒霸等不少反病毒软件就是窃取QQ密码木马病毒的克星。 日前,金山反病毒监测中心宣布新截获一个企图窃取QQ密码的木马病毒——QQ密码记录器。据金山毒霸事业部技术总监陈飞舟介绍:“QQ密码记录器英文名称为Trojan.QQPassR 感染QQ密码记录器木马病毒后,扩展名为exe和com文件在每次运行前,该病毒都将率先运行。同时,用户在使用QQ发送消息的时候,消息中会自动添加“http://xmc.nease.net快去看看,你感兴趣的”这句话,这将导致更多的人通过浏览该页面而中招。由于该木马病毒没有判断重复加载进程的问题,所以系统将反复加载该木马程序,从而大量消耗系统资源。 QQ密码记录器病毒会在系统目录下释放svh0st.exe、scanregw.exe和Internets.exe这三个文件,其文件名特征与系统正常文件名十分相似,用户在查看系统进程时往往会误认为系统正常进程,从而使该病毒可躲开用户的常规检查。 陈飞舟表示,金山毒霸已经可以查杀该病毒,用户只需登陆金山毒霸网站(www.duba.net <>www.duba.net/> )升级金山毒霸到最新版本即可。用户也可以使用任务管理器查找以上三个文件的进程,终止其运行后再到系统目录下查找以上三个文件,然后手工删除它。删除病毒程序后,用户还需按以下方法手工恢复注册表相关键值,系统才会完全恢复正常。 手工清除方法: 1、单击开始->运行,输入regedit,运行注册表编辑器。 2、还原注册键HKEY_CLASSES_ROOT\comfile\shell\open\command和HKEY_CLASSES_ROOT\exefile\shell\open\command的值为"%1"%*,病毒修改后会在"%1"%*前面加上病毒程序的路径,这项值的修改非常重要,否则会造成系统重启后所有的com文件和exe文件无法运行。 3、删掉HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Scanreg项目。
|