QQ木馬是針對(duì)QQ即時(shí)聊天工具的盜號(hào)木馬���。病毒運(yùn)行后會(huì)修改注冊(cè)表增加啟動(dòng)項(xiàng)�����,破壞QQ醫(yī)生的運(yùn)行���。然后通過(guò)內(nèi)存讀取的方式盜取用戶的QQ號(hào)和密碼,并把密碼發(fā)送到木馬種植者的手上�����。
行為分析
1.生成文件:
%sys32dir%qqmm.vxd
2.生成CLSID組件
HKEY_CLASSES_ROOTCLSID
HKEY_CLASSES_ROOTCLSID @ ""
HKEY_CLASSES_ROOTCLSIDInProcServer32
HKEY_CLASSES_ROOTCLSIDInProcServer32 @ "C:WINDOWSsystem32qqmm.vxd"
HKEY_CLASSES_ROOTCLSIDInProcServer32 ThreadingModel "Apartment"
3.修改注冊(cè)表,增加啟動(dòng)項(xiàng)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
4.病毒運(yùn)行后會(huì)刪除病毒源文件自身.
5.病毒運(yùn)行后會(huì)把vxd文件注入到進(jìn)程當(dāng)中.
6.病毒運(yùn)行后會(huì)刪除QQ醫(yī)生的執(zhí)行文件QQDoctorQQDoctor.exe
7.病毒運(yùn)行后會(huì)登錄h ttp://f***h. ch****en.c om/ip/ip.php網(wǎng)站來(lái)獲得客戶機(jī)器的IP地址.
8.病毒運(yùn)行后會(huì)通過(guò)讀取內(nèi)存的方式截獲客戶QQ的賬號(hào),密碼等相關(guān)資料.然后把獲得的QQ的相關(guān)資料發(fā)送木馬種植者的郵箱.
典型病毒
QQ偽裝盜號(hào)者
病毒名稱(中文):QQ偽裝盜號(hào)者16 38 40(無(wú)空格)病毒別名:威脅級(jí)別:★☆☆☆☆病毒類型:偷密碼的木馬病毒長(zhǎng)度:163 840影響系統(tǒng):Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為
該病毒是針對(duì)QQ即時(shí)聊天工具的盜號(hào)木馬�。病毒運(yùn)行后會(huì)釋放偽裝成系統(tǒng)桌面進(jìn)程的病毒文件,修改注冊(cè)表增加啟動(dòng)項(xiàng)��,然后通過(guò)內(nèi)存讀取的方式盜取密碼���,并把密碼發(fā)送到木馬種植者的手上�����。
1.生成文件
%sys32dir%explorer.exe
%sys32dir%systemlr.dll
2.生成注冊(cè)表啟動(dòng)項(xiàng)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun explorer.exe "C:WINDOWSsystem32explorer.exe"
小編推薦閱讀
