騰訊QQ大盜傳播技術分析報告及防范

病毒名稱：Trojan/PSW.QQpass.br

中 文 名：『QQ大盜』

病毒類型：木馬

危害等級：★★

影響平臺：Win 9x/2000/XP/NT/Me/2003

『QQ大盜』病毒可以利用IE瀏覽器mht漏洞，通過利用該漏洞編寫的惡意網頁代碼，自動下載一個網上的chm文件，『QQ大盜』病毒即內嵌其中並開始自動運行。

1、 該木馬程序運行後，將在系統文件夾生成：%SystemDir%\NTdhcp.exe，28400字節。

並添加注冊表項：

[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

『NTdhcp』 = %SystemDir%\NTdhcp.exe

這樣，在Windows啟動時，木馬得以自動運行。

2、 『QQ大盜』病毒(Trojan/PSW.QQpass.br)的盜取目標是用戶的QQ號、密碼和詳細的QQ資料信息。

『QQ大盜』病毒防范措施：

未感染病毒用戶：昇級殺毒軟件(如江民殺毒軟件KV2005)病毒庫到最新病毒庫，開啟病毒實監控。將系統打上MHT文件下載執行漏洞補丁程序。

微軟官方補丁網址：www.microsoft.com/technet/security/bulletin/MS04-013.mspx

已感染病毒的用戶：首先需安裝正版殺毒軟件並昇級最新病毒庫，對電腦進行全盤查殺。運行REGEDIT注冊表編輯器，定位到

[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，將RUN下面的鍵值『NTdhcp』 = %SystemDir%\NTdhcp.exe刪除。

手工清除辦法：

首先運行任務管理器，查找並結束掉NTdhcp.exe進程

按照病毒文件所在位置System\NTdhcp.exe找到系統目錄下的病毒文件，手工刪除，。運行REGEDIT注冊表編輯器，定位到

[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，將RUN下面的鍵值『NTdhcp』 = %SystemDir%\NTdhcp.exe刪除。

系統加固辦法：

1、使用WINDOWS UPDATE功能自動更新系統補丁。

2、下載安裝MHT文件下載執行漏洞補丁。

MHT漏洞官方補丁下載地址：

www.microsoft.com/technet/security/bulletin/MS04-013.mspx