Win32.Troj.QQMsg74163.b_安全中国_全球最大网络安全培训门户

病毒别名：
处理时间：
威胁级别：★★
中文名称：QQ尾巴
病毒类型：木马
影响系统：Win9x / WinNT
病毒行为:
这是一个通过QQ传播的木马病毒。该病毒会将自己释放到系统目录下并替换所有的屏幕保护程序，将屏幕保护设置为病毒文件，将屏幕保护启动前的等待时间改为1分钟。该病毒会关闭安全软件和网络共享，当用户在跟QQ好友聊天的时候，病毒会自动向好友发送带有病毒的链接欺骗好友去点击，从而也感染该病毒。

1)病毒将自己拷贝到：
%SystemRoot%\IsUn0404.exe
%SystemRoot%\IsUn0804.exe
%System%\csrss.exe

2)用病毒文件替换下列的文件：

%SystemRoot%目录下的
IsUninst.exe

%System32%目录下的
logon.scr
scrnsave.scr
ss3dfo.scr
ssbezier.scr
ssflwbox.scr
ssmarque.scr
ssmaze.scr
ssmyst.scr
sspipes.scr
ssstars.scr
sstext3d.scr
频道屏幕保护程序.scr

3)通过一个批处理来关闭防火墙和网络共享：
%System32%\AUTOEXEC.BAT
该文件的内容：
net stop "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" >>%System32%\BOOTEX.LOG

4)添加启动项和更改屏幕保护程序（屏幕保护程序已经被病毒替换）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"internet"="%System%\csrss.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将"Shell"的键值从"Explorer.exe"改为"Explorer.exe %System%\csrss.exe"
HKEY_CURRENT_USER\Control Panel\Desktop
"SCRNSAVE.EXE"="%System32%\sstext3d.scr"
HKEY_USERS\S-1-5-21-823518204-1993962763-1343024091-500\Control Panel\Desktop
"SCRNSAVE.EXE"="%System32%\sstext3d.scr"

5)修改TXT的文件关联到病毒文件，使得每次打开TXT文件时，该病毒都会运行一次：
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
将"@"的键值改为""%System%\csrss.exe" "%1""

将屏幕保护启动前的等待时间改为1分钟：
HKEY_CURRENT_USER\Control Panel\Desktop
HKEY_USERS\S-1-5-21-823518204-1993962763-1343024091-500\Control Panel\Desktop
将"ScreenSaveTimeOut"的键值改为"60"

6)强行结束窗口标题中带有以下字眼的进程，以关闭安全软件：
木马
杀毒
邮件
网镖
防火墙
实时监
病毒监
病毒控
firewall
fire wall
antiviru

7)通过下面的一些字眼判断当前窗口是不是QQ的聊天窗口，如果是就自动发送带病毒链接的消息给QQ好友：
聊天
聊天中
送消息
- 发送消息