科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道qhbpri木马剖析及专杀工具下载

qhbpri木马剖析及专杀工具下载

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

最近qhbpri.dll(***pri)等Qhbpri盗号木马群十分盛行,在查杀中不少网友说删除不了启动项,因为病毒监控了他的启动项目,一旦删除立即恢复,对付Qhbpri木马的解决方法是重命名文件法。

作者:论坛整理 来源:zdnet网络安全 2008年2月22日

关键字: 杀毒软件 木马 反病毒 病毒防范 防病毒 病毒

  • 评论
  • 分享微博
  • 分享邮件

最近qhbpri.dll(***pri)等Qhbpri盗号木马群十分盛行,在查杀中不少网友说删除不了启动项,因为病毒监控了他的启动项目,一旦删除立即恢复,对付Qhbpri木马的解决方法是重命名文件法。

qhbpri木马一般的表现为:

1、在system32下面生成 很多6个字母的dll 且名称为xxxpri.dll(xxx代表随机)

2、且所有的dll插入explorer等进程 动态守护 动态监控注册表

注册表启动方式一般如下

一部分通过 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWindows下的AppInit_DLLs加载,保证他能在安全模式下运行。

其他一部分通过HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerShellExecuteHooks下面创建自己的键,来加载且只要有一个加载成功病毒就不会被彻底干掉所以对付这类病毒必须一网打尽。

Qhbpri木马介绍:

1.下载大量其它木马,使系统速度变慢

该木马在系统连网状态下会大量下载其它木马,使系统响应速度越来越慢,最后彻底失去响应(死机)。

2.变形、复制,普通方式无法彻底清除

该木马变名,变形,大量自我复制(*pri.dll,前面为变名字母),躲避杀毒软件追杀,普通方式清除完后扫描又会出现,无法彻底清理。

3.隐藏深,普通方式难以发现

非法修改Windows注册表AppInit_DLLs达到优先启动的效果,并隐蔽插入到其他程序进程,普通方式难以检测。

如果用户开启有360安全卫士实时保护的“系统关键位置保护”,将会在开机时发现360安全卫士滑出的提示信息:“qhbpri木马”和“未知启动项AppInit_DLLs正在被装入”

4.与木马服务器通讯,盗窃网络财产

将用户网银及网游等帐号和密码通过后台方式发送给指定的木马服务器,使用户财产无形中被盗取。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章