提防“QQ大盗”病毒
提防“QQ大盗”病毒
Security信息安全]
提防’’
责任编辑:孙红娜联系电话:O1O-88558021
QQ大盗”病毒
为了便于沟通,很多企业
都允许员工使用QQ.不过,如
果QQ密码被黑客所获得,受
伤害的可能不只是员工自己,
还可能被黑客利用,获取企业
内部的一些重要信息,很可能
给企业带来巨大的经济损失.
病毒特征
1.QQ大盗病毒
QQ大盗病毒属于木马程
序,会利用IE漏洞编写恶意网
页代码,自动下载chin文件.
程序运行后,在Windows
文件夹中生成%SystemDir%\
NTdhcp.exe文件,并在注册表
的HKEY—LoCALMACHINE\
SOft目re,MCrosoft,
Windows\CurrentVersion\
Run处,添加”NTdhcp”=%
SystemDir%\NTdhcp.exe,以
实现自启动.
该病毒的盗取目标是QQ
号,密码和详细的QQ资料信息.
2.QQ大盗变种pf
会释放vxd文件,并插入
【上接第95页】
ARP命令静态绑定网关MAC.
格式如下:
C:\>arp—s网关IP地址
网关MAC地址
如果觉得每次手动输入这
些有些繁琐,可以编写一个
简单的批处理文件来执行这
步操作,并将它设置为开机
时自启动.
该批处理的
如下:
到QQ进程中,以便获取QQ
账号和密码.该变种会破坏”QQ
医生”的正常运行.
3.”QQ大盗”变种UCS
采用Delphi语言编写,
未经过加壳保护处理.该病
毒运行后会释放出恶意DLL
文件,并插入到桌面程序如
“Explorer.exe”等进程中加载
运行.一旦发现”腾讯QQ”的
登录窗口,便会强行破坏其”键
盘保护锁”,然后利用键盘钩子,
内存截取或封包截取等技术盗
取QQ用户名和密码等信息,
并将窃取的重要信息发送到黑
客指定的远程服务器上.
4.”QQ大盗”变种udx
采用Delphi语言编写,经
过加壳保护处理,一般插入到
桌面程序如”Explorer.exe”
等进程中加载运行.破坏原理
同QQ大盗变种UCS.
病毒清除及防范
1.加固系统:
及时给系统打上相关补丁,
@echooff
echo”arpset”
arp--d
arp一8网关IP地址网关
MAC地址
exit
这种方法如果和”网关使
用IP+MAC绑定模式”配合使
用,效果会更好.
2.在客户端安装防ARP攻
击的软件,如AntiARP,360
?
96?网管员趟www.365master.com2008.12B
?浙江省衢州二中余卫中
安装必要的防病毒,防火墙软
件,并开启实时监控功能.
2.手工清除:
在任务管理器中结束进
程NTdhcp.exe,找到病毒文
件所在位置,将其删除.进入
到注册表的HKEY—L0CAL,
MACHINE\SOftware\
Microsoft\Windows\Current
Version\Run,删除下面的键
值”NTdhcp”=%SystemDir%
\NTdhcp.exe.
3.巧输密码:
“QQ大盗”只跟踪键盘,
不会跟踪鼠标,所以可以在密
码输入方面下点功夫.
例如,把密码提前记录其
他文件中,以”复制”的方法
输入密码,而不通过键盘输入.
或者在输入密码时先输入密码
的后面部分,然后将光标移动
到前面输入密码的前面部分.
例如,要输入密码123456,可
以先输入3456,再将光标移动
到前面输入l2,此时”QQ大盗”
记录的密码是345612.
安全卫士等.安装一些口碑比
较好的防ARP攻击软件,能够
有效防止ARP在网内的泛滥,
并且可以快速定位同网段内的
ARP攻击源.
对于已知的ARP病毒,可
以使用杀毒软件或者专杀工具
进行查杀.而对于一些杀毒软
件无法查杀的未知ARP病毒,
建议用户重新安装系统并及时
升级补丁程序.