QQ木馬是針對QQ即時聊天工具的盜號木馬�。病毒運行后會修改注冊表增加啟動項�����,破壞QQ醫(yī)生的運行�。然后通過內(nèi)存讀取的方式盜取用戶的QQ號和密碼,并把密碼發(fā)送到木馬種植者的手上�。
行為分析
1.生成文件:
%sys32dir%qqmm.vxd
2.生成CLSID組件
HKEY_CLASSES_ROOTCLSID
HKEY_CLASSES_ROOTCLSID @ ""
HKEY_CLASSES_ROOTCLSIDInProcServer32
HKEY_CLASSES_ROOTCLSIDInProcServer32 @ "C:WINDOWSsystem32qqmm.vxd"
HKEY_CLASSES_ROOTCLSIDInProcServer32 ThreadingModel "Apartment"
3.修改注冊表,增加啟動項
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
4.病毒運行后會刪除病毒源文件自身.
5.病毒運行后會把vxd文件注入到進程當(dāng)中.
6.病毒運行后會刪除QQ醫(yī)生的執(zhí)行文件QQDoctorQQDoctor.exe
7.病毒運行后會登錄h ttp://f***h. ch****en.c om/ip/ip.php網(wǎng)站來獲得客戶機器的IP地址.
8.病毒運行后會通過讀取內(nèi)存的方式截獲客戶QQ的賬號,密碼等相關(guān)資料.然后把獲得的QQ的相關(guān)資料發(fā)送木馬種植者的郵箱.
典型病毒
QQ偽裝盜號者
病毒名稱(中文):QQ偽裝盜號者16 38 40(無空格)病毒別名:威脅級別:★☆☆☆☆病毒類型:偷密碼的木馬病毒長度:163 840影響系統(tǒng):Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為
該病毒是針對QQ即時聊天工具的盜號木馬。病毒運行后會釋放偽裝成系統(tǒng)桌面進程的病毒文件��,修改注冊表增加啟動項,然后通過內(nèi)存讀取的方式盜取密碼�����,并把密碼發(fā)送到木馬種植者的手上�����。
1.生成文件
%sys32dir%explorer.exe
%sys32dir%systemlr.dll
2.生成注冊表啟動項
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun explorer.exe "C:WINDOWSsystem32explorer.exe"
小編推薦閱讀
