中 文 名“QQ大盗”

    病>毒类型木马

    危害等级★★

    影响平台Win 9x/2000/XP/NT/Me/2003

     “QQ大盗”病毒可以利用IE浏览器mht漏洞，通过利用该漏洞编写的恶意网页代码，自动下载一个网上的chm文件， “QQ大盗”病毒即内嵌其中并开始自动运行。

    1、  该木马程序运行后，将在系统文件夹生成%SystemDir%\NTdhcp.exe，28400字节。

图一

 

    并添加注册表项

    [HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

    “NTdhcp” = %SystemDir%\NTdhcp.exe

    这样，在Windows启动时，木马得以自动运行。

图二

    2、  “QQ大盗”病毒（Trojan/PSW.QQpass.br）的盗取目标是用户的QQ号、密码和详细的QQ资料信息。

    “QQ大盗”病毒防范措施

    未感染病毒用户升级杀毒软件（如江民杀毒软件KV2005）病毒库到最新病毒库，开启病毒实监控。将系统打上MHT文件下载执行漏洞补丁程序。

    微软官方补丁网址http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx

    已感染病毒的用户首先需安装正版杀毒软件并升级最新病毒库，对电脑进行全盘查杀。运行REGEDIT注册表编辑器，定位到

    [HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。

    手工清除办法

    首先运行任务管理器，查找并结束掉NTdhcp.exe进程

    按照病毒文件所在位置System\NTdhcp.exe找到系统目录下的病毒文件，手工删除，。运行REGEDIT注册表编辑器，定位到

    [HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。

    系统加固办法

    1、使用WINDOWS UPDATE功能自动更新系统补丁。

    2、下载安装MHT文件下载执行漏洞补丁。

    MHT漏洞官方补丁下载地址

    http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx