病毒名称:
Win32.Troj.PSWQQ.gb
类别: 木马病毒
病毒资料:
该病毒为Windows平台下针对于QQ网络即时聊天软件的盗号木马,病毒运行后将自身复制至特殊文件夹以伪装成系统正常程序,然后病毒在后台监视用户使用QQ的相关信息,收集后发送给病毒作者。
病毒主要通过网络欺骗、捆绑软件方式进行传播。
1、病毒运行后将自身复制至以下路径:
%SysRoot%:\Program Files\Internet EXPlorer\PLUGINS\system.jmp
2、病毒释放出以下主盗号模块:
%SysRoot%:\Program Files\Internet Explorer\PLUGINS\system.sys
3、病毒添加以下几个注册表项,使病毒开机后能够自动运行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6E44887F-5214-41F2-AB46-4728735C4CC6}
HKEY_LOCAL_MACHINE\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}
HKEY_LOCAL_MACHINE\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcserver32
@@ = "%SysRoot%:\Program Files\Internet Explorer\PLUGINS\system.sys"
ThreadingModel = "apartment"
4、病毒利用钩子技术将"system.sys"注入每个进程中,然后进行定位QQ主程序。
5、成功定位后,病毒在后台记录用户QQ的以下相关信息:
登录号码
密码
Q币
游戏币
积分
密保
是否会员
等级信息
帐户余额
6、成功获取后病毒将信息发送至以下地址:
http://www.66**.com/qqb/qqlog.ASP
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2006-9-10