病毒别名: 处理时间:2007-06-13 威胁级别:★
中文名称: 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个盗取QQ密码的病毒,它还能大量下载其它的病毒。
1:拷贝与释放文件
病毒运行后会释放与拷贝自身
%系统目录分区%\Program Files\Internet Explorer\PLUGINS\System64.Jmp
%系统目录分区%\Program Files\Internet Explorer\PLUGINS\System64.Sys (Win32.Troj.QQPass.wm.57632)
之后把这两个文件设定为隐藏、系统文件属性
2:更改注册表
病毒会更改以下两处注册表值,加入ShellHook里面运行,使system64.sys插入到系统里面进程中运行
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
HKEY_CURRENT_USER\CLSID\{754FB7D8-B8FE-4810-B363-A788CD060F1F}\InProcServer32
(Default) = "C:Program FilesInternet ExplorerPLUGINSSystem64.Sys"
3:盗号与传播
病毒会检测自己插入的进程是否是QQ的主程序,若发现是,则寻找QQ的登录窗口,并在用户输入密码时通过发消息
的方式尝试获取QQ的号码与密码,一但获取成功,则通过网站的方式发送出去,网站地址是
http://www.******l.com/qq/qqll.asp
病毒还会尝试把自己发送给QQ的好友,传播自己。
4:下载其它病毒
病毒还会下载以下病毒。
http://www.****ft.cn/11/qqhx.exe
http://www.****ft.cn/11/wow.exe
http://www.****ft.cn/11/hx2.exe
http://www.****ft.cn/11/jh.exe
http://www.****ft.cn/11/mh.exe
http://www.****ft.cn/11/qjsj.exe
http://www.****ft.cn/11/wmgj.exe
http://www.****ft.cn/11/wd.exe
http://www.****ft.cn/11/wl.exe
http://www.****ft.cn/11/zt.exe
http://www.****ft.cn/11/zx.exe
http://www.****ft.cn/11/tl.exe
http://www.****ft.cn/11/my.exe