中 文 名：“QQ大盜”

　　病毒類型：木馬

　　危害等級：★★

　　影響平臺：Win 9x/2000/XP/NT/Me/2003

　　“QQ大盜”病毒可以利用IE瀏覽器mht漏洞，通過利用該漏洞編寫的惡意網(wǎng)頁代碼，自動下載一個網(wǎng)上的chm文件，“QQ大盜”病毒即內(nèi)嵌其中并開始自動運行。

　　1、 該木馬程序運行后，將在系統(tǒng)文件夾生成：%SystemDir%\NTdhcp.exe，28400字節(jié)。

(圖一)

　　并添加注冊表項：

　　[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

　　“NTdhcp” = %SystemDir%\NTdhcp.exe

　　這樣，在Windows啟動時，木馬得以自動運行。

(圖二)

　　2、 “QQ大盜”病毒(Trojan/PSW.QQpass.br)的盜取目標(biāo)是用戶的QQ號、密碼和詳細(xì)的QQ資料信息。

　　“QQ大盜”病毒防范措施：

　　未感染病毒用戶：升級殺毒軟件(如江民殺毒軟件KV2005)病毒庫到最新病毒庫，開啟病毒實監(jiān)控。將系統(tǒng)打上MHT文件下載執(zhí)行漏洞補丁程序。

　　微軟官方補丁網(wǎng)址：www.microsoft.com/technet/security/bulletin/MS04-013.mspx

　　已感染病毒的用戶：首先需安裝正版殺毒軟件并升級最新病毒庫，對電腦進行全盤查殺。運行REGEDIT注冊表編輯器，定位到

　　[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，將RUN下面的鍵值“NTdhcp” = %SystemDir%\NTdhcp.exe刪除。

　　手工清除辦法：

　　首先運行任務(wù)管理器，查找并結(jié)束掉NTdhcp.exe進程

　　按照病毒文件所在位置System\NTdhcp.exe找到系統(tǒng)目錄下的病毒文件，手工刪除，。運行REGEDIT注冊表編輯器，定位到

　　[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，將RUN下面的鍵值“NTdhcp” = %SystemDir%\NTdhcp.exe刪除。

　　系統(tǒng)加固辦法：

　　1、使用WINDOWS UPDATE功能自動更新系統(tǒng)補丁。

　　2、下載安裝MHT文件下載執(zhí)行漏洞補丁。

　　MHT漏洞官方補丁下載地址：

　　www.microsoft.com/technet/security/bulletin/MS04-013.mspx