提防“QQ大盗”病毒

提防“QQ大盗”病毒 提防“QQ大盗”病毒 Security信息安全] 提防’’ 责任编辑:孙红娜联系电话:O1O-88558021 QQ大盗”病毒 为了便于沟通,很多企业 都允许员工使用QQ.不过,如 果QQ密码被黑客所获得,受 伤害的可能不只是员工自己, 还可能被黑客利用,获取企业 内部的一些重要信息,很可能 给企业带来巨大的经济损失. 病毒特征 1.QQ大盗病毒 QQ大盗病毒属于木马程 序,会利用IE漏洞编写恶意网 页代码,自动下载chin文件. 程序运行后,在Windows 文件夹中生成%SystemDir%\ NTdhcp.exe文件,并在注册表 的HKEY—LoCALMACHINE\ SOft目re,MCrosoft, Windows\CurrentVersion\ Run处,添加”NTdhcp”=% SystemDir%\NTdhcp.exe,以 实现自启动. 该病毒的盗取目标是QQ 号,密码和详细的QQ资料信息. 2.QQ大盗变种pf 会释放vxd文件,并插入 【上接第95页】 ARP命令静态绑定网关MAC. 如下: C:\>arp—s网关IP地址 网关MAC地址 如果觉得每次手动输入这 些有些繁琐,可以编写一个 简单的批处理文件来执行这 步操作,并将它设置为开机 时自启动. 该批处理的内容如下: 到QQ进程中,以便获取QQ 账号和密码.该变种会破坏”QQ 医生”的正常运行. 3.”QQ大盗”变种UCS 采用Delphi语言编写, 未经过加壳保护处理.该病 毒运行后会释放出恶意DLL 文件,并插入到桌面程序如 “Explorer.exe”等进程中加载 运行.一旦发现”腾讯QQ”的 登录窗口,便会强行破坏其”键 盘保护锁”,然后利用键盘钩子, 内存截取或封包截取等技术盗 取QQ用户名和密码等信息, 并将窃取的重要信息发送到黑 客指定的远程服务器上. 4.”QQ大盗”变种udx 采用Delphi语言编写,经 过加壳保护处理,一般插入到 桌面程序如”Explorer.exe” 等进程中加载运行.破坏原理 同QQ大盗变种UCS. 病毒清除及防范 1.加固系统: 及时给系统打上相关补丁, @echooff echo”arpset” arp--d arp一8网关IP地址网关 MAC地址 exit 这种方法如果和”网关使 用IP+MAC绑定模式”配合使 用,效果会更好. 2.在客户端安装防ARP攻 击的软件,如AntiARP,360 ? 96?网管员趟www.365master.com2008.12B ?浙江省衢州二中余卫中 安装必要的防病毒,防火墙软 件,并开启实时监控功能. 2.手工清除: 在任务管理器中结束进 程NTdhcp.exe,找到病毒文 件所在位置,将其删除.进入 到注册表的HKEY—L0CAL, MACHINE\SOftware\ Microsoft\Windows\Current Version\Run,删除下面的键 值”NTdhcp”=%SystemDir% \NTdhcp.exe. 3.巧输密码: “QQ大盗”只跟踪键盘, 不会跟踪鼠标,所以可以在密 码输入方面下点功夫. 例如,把密码提前其 他文件中,以”复制”的方法 输入密码,而不通过键盘输入. 或者在输入密码时先输入密码 的后面部分,然后将光标移动 到前面输入密码的前面部分. 例如,要输入密码123456,可 以先输入3456,再将光标移动 到前面输入l2,此时”QQ大盗” 记录的密码是345612. 安全卫士等.安装一些口碑比 较好的防ARP攻击软件,能够 有效防止ARP在网内的泛滥, 并且可以快速定位同网段内的 ARP攻击源. 对于已知的ARP病毒,可 以使用杀毒软件或者专杀工具 进行查杀.而对于一些杀毒软 件无法查杀的未知ARP病毒, 建议用户重新安装系统并及时 升级补丁程序.