病毒名称:W32.Qdens.E
病毒性质:蠕虫
文件大小:27305字节
感染系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
损害情况:低
风险等级:中
传播速度:中
症状:
1、复制自身在系统文件夹system或system32,文件名为lsas32.exe,图标为一裸女上半身形象。
2、新增注册表键值"678" = "%系统文件夹%\lsas32.exe"在以下注册表分支:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run添加该键值的目的在于使病毒自动运行。
3、新增键值"(Default)" = "[DATE OF INFECTION]"在以下注册表分支:HKEY_LOCAL_MACHINE\SOFTWARE\TCPlus
4、试图删除以下注册表分支,以便替换掉较老版本的该类病毒(相当于病毒升级)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\234
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\911
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\99
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\222
5、试图停止以下安全软件
kregex.exe
trojdie.kxp
fsService.exe
slserve.exe
Service.exe
system32.exe
assistse.exe
ravmon.exe
ravtimer.exe
rfw.exe
kavpfw.exe
kpfwsvc.exe
kavstart.exe
kwatch.exe
kavplus.exe
mailmon.exe
kpopmon.exe
kwatchui.exe
kavsvc.exe
kvapfw.exe
kvfw.exe
kvmonxp.kxp
kvsrvxp.exe
kvxp.kxp
kvcenter.kxp
defwatch.exe
rtvscan.exe
ccapp.exe
ccsetmgr.exe
vptray.exe
passwordguard.exe
eghost.exe
iparmor.exe
pfw.exe
teregpct.exe
dfvsnet.exe
netbargp.exe
nmain.exe
navw32.exe
kavsvcui.exe
kav32.exe
6、监听操作系统中带有以下文字的程序,这些文字可能是简体或者繁体中文,也可以是拼音:
Liaotianzhong
Jiaotanzhong
Fasong xinxi
聊天中
交谈中
发送消息
交談中
發送消息
7、如果该病毒监听到有以上字符,即搜索到以下文件并运行
qq.exe
tm.exe
8、通过以上软件发送病毒的复制品到另一个用户的系统
处理方案:
1、关闭系统还原
2、删除病毒生成文件lsas32.exe
3、删除上述注册表新增部
