Technische Beschreibung:

QQHelper.Z ist nicht einfach zu erkennen, da weder Nachrichten oder Warnungen anzeigt werden, die darauf hinweisen, dass der Virus den Computer erreicht hat.
QQHelper.Z führt folgende Aktionen durch:
• Der Trojaner fügt den „Favoriten“ des Internet Explorers einen Link zu einer chinesischen Internetseite hinzu. Die folgende Abbildung gehört zu der Internetseite, die angezeigt wird:
• Der Virus verbindet den Computer dann mit einer Internetseite um folgende Datei runterzuladen: logo[1].jpeg.
• Diese Datei lädt zwei Rootkits auf den betroffenen Computer. Diese Rootkits erschweren die Entdeckung des Trojaners, da sie die Dateien, Arbeitsverfahren und Registereinträge des Virus verstecken.

Ansteckungstaktik:
QQHelper.Z erschafft folgende Dateien:
• TEMPAQ, im Windowsverzeichnis
• 7S2WCAML.DLL, im Windowssystemverzeichnis
• Zwei Daten mit zufälligen Namen und SYS-Erweiterung, im Subordner „Drivers“ des Windowssystemverzeichnis. Diese Dateien gehören zu zwei Rootkits, die vom Trojaner benutzt werden, um Dateien, Arbeitsverfahren und Registereinträge verstecken. Dies erschwert die Entdeckung des Virus.

QQHelper.Z erschafft folgende Einträge im Windowsverzeichnis:
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ IE4
Main = %random characters%
• HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ %rootkit 1%
• HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ %rootkit 2%
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ %rootkit 1%
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ %rootkit 2%

Wobei %rootkit 1% und %rootkit 2% zu den Rootkits mit zufälligen Namen gehören, die von QQHelper.Z benutzt werden. Bei der Erschaffung dieser Einträge registrieren sich die zwei Rootkits als Services. Damit wird garantiert, dass sie mit dem Systemstart von Windows ausgeführt werden.

Entfernung:

[ Zurück zum Anfang ]