病毒名称:
Win32.Troj.QQPass.kw
类别: 木马病毒
病毒资料:
这是一个QQ的盗号木马,它能插入EXPlorer.exe与ctmon.exe进程中运行.
1:释放文件
病毒被运行后,会释放一个文件,文件路径为
C:\Program Files\Outlook Express\mqq.dll
这是一个病毒(Win32.Troj.PswQQ.ne.39575)
之后把该DLL插入到Explorer.exe与ctmon.exe进程中运行.
然后病毒会把自己删除.
2:病毒会更改这下两处注册表,使自己能附在Explorer.exe进程中.
HKEY_CLASSES_ROOT\CLSID\{25E1EECB-E580-4032-97A2-A456D33820D1}\InProcServer32
默认 - "C:\Program Files\Outlook Express\mqq.dll"
ThreadingModel - Apartment
3:插入进程
病毒会把自己插入到Explorer.exe与ctmon.exe两个进程空间中运行,
并没有生成新的病毒进程,增加了查杀病毒的难度.
4:盗取并发送密码
病毒破坏npkcrypt.sys文件,使QQ的键盘加密失效,这样病毒可以很容易的读取QQ的号码与密码,
病毒还对用户使用QQ的动作进行跟踪,并读取用户QQ码的大量信息,如QQ号码的Q币,游戏币,
是否有密保,积分,等级,是否为会员,邮件,IP地址等,并把得到的信息发送到木马种植者的邮箱中.
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2006-9-12