电子票潜伏者 腾讯电脑管理员独家查杀
近日,腾讯反病毒实验室最新捕获了名为流氓密友的名字QQ病毒,这种病毒行使QQ程序接口,不经用户赞成强制向当前QQ广告营销自动添加QQ密友,从而达到病毒营销推广的目的。 腾讯反病毒实验室最近捕捉到了新的QQ这种病毒通过行使QQ未经用户同意,程序接口强制执行当前程序QQ自动添加一个QQ密友,加QQ密友通常是广告营销QQ,从而达到病毒营销推广的目的。
主要传播渠道:现在这种病毒会伪装成不知道的事情.rar在群共享和离线文件中流传
病毒行为分析:
1、设置义务管理器不能启动
挪用RegSetValueEx相关API修改以下键值:
Key=HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\Policies\System
Value=DisableTaskMgr
Data=0x1
2、不判断目前是否已上岸。QQ,直接挪用CreateProcess建立Timwp.exe历程
若是当前的QQ如果在线,会弹出:
3、下一个动作是模拟点击完成添加密友的动作。病毒不断发送键盘模拟新闻有三个动作:CRTL V、CTRL 回车回车,直到加密友乐成。CRTL V如果当前剪贴板上有内容,将添加到认证新闻中,CRTL 回车和回车是为了跳到下一步。
/CALL 到 keybd_event 来自 强制加好.00446A95
|Key = 11 //CTRL 键
|ScanCode = 0
|Flags = 0
Key = 0x11 CTRL键
Key = 0x56 V 键
Key = 0xD 回车
添加密友步骤:
(①直接按加密友到下一步。注:如果点击无效,病毒将继续弹出添加密友框,直到您按下添加密友按钮)
新型白利用(暴风)远程控制木马
(②病毒自动响应回车,下一步自动响应)
(③病毒自动响应回车,下一步自动响应)
(④ 病毒自动响应回车,下一步自动响应)
(⑤ 病毒自动响应完成友)
(⑥ 然后通过强制添加完成QQ号向你发送广告信息)
电脑管家可以用来阻止这种病毒:
伪熊猫烧香病毒来袭 电脑管家全面查杀