I-Worm/QQ.Porn病毒[编辑]

     I-Worm/QQ.Porn，此病毒为蠕虫病毒，通过在线QQ发送病毒文件。病毒运行后会从黑客网站下载另一病毒（Backdoor/Jieba.2004），后者可以捕获Win9x/Win2k/WinXp下的几乎所有普通窗口的登录密码，
如： OICQ/QQ, ICQ, Outlook, Foxmail, 电子邮箱， 网吧上网账号， 软件注册码、各种游戏软件， 各种财务软件， 各种管理软件， 拨号上网， 共享目录， 屏保等等， 以及各种在网页的登录密码， 如： Web邮件， 江湖论坛， 聊天室， 密码保护资料等。

病毒名称：I-Worm/QQ.Porn

病毒大小：20480，upx压缩

传播方式：网络传播

危害程度：**

感染过程：

(1) 如果病毒被执行，会生成以下文件，其存路径为：

病毒运行后，将创建下列文件：

%SystemDir%\wbem\dhelp.dll, 20480字节

%SystemDir%\dhelp.dll, 20480字节

%SystemDir%\wmimgr.exe, 20480字节

(2) 从黑客网站下载Backdoor/Jieba.2004并保存为：

%SystemDir%\comime.exe, 49576字节

%SystemDir%\msinthk.dll, 6656字节

(3) 在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mssysint" = comime.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Management Instrumentation" = wmimgr.exe

这样，在Windows启动时，病毒就可以自动执行

(4) 病毒通过修改以下注册表键值，达到用户无法手工修改注册表和使用任务管理器的目的：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr" = 1

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools" = 00000001

网络营销词典内容均由网友提供，仅供参考。如发现词条内容有问题，请发邮件至info # wm23.com。