威胁级别:★
病毒类型:木马
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个盗取QQ帐号以及中国游戏中心帐号相关信息的木马。病毒运行后会安装全局钩子,监视系统,寻找游戏和QQ窗口,当找到时便获得相关信息,提交到指定网址。
1、病毒运行后会复制自身到C:Program FilesInternet ExplorerPLUGINSsystem.jmp,并释放一个dll文件到
C:Program FilesInternet ExplorerPLUGINSsystem18.sys。
2、修改注册表实现开机自动启动:
添加如下键值:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
{6E44887F-5214-41F2-AB46-4728735C4CC6}=""
[HKCRCLSID{6E44887F-5214-41F2-AB46-4728735C4CC6}]
(Default)=""
[HKCRCLSID{6E44887F-5214-41F2-AB46-4728735C4CC6}InProcServer32]
(Default)="C:Program FilesInternet ExplorerPLUGINSsystem18.sys"
[HKCRCLSID{6E44887F-5214-41F2-AB46-4728735C4CC6}InProcServer32]
"ThreadingModel"="Apartment"
3、安装全局钩子,加载病毒文件system18.sys。
4、枚举系统中的窗口,查找QQ登陆窗口以及中国游戏中心的登陆窗口,若找到则向窗口发送消息获得帐号相关信息。
5、将取得的信息提交到指定的网址。
