病毒名称(中文):
QQ狂盗王
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
258
影响系统:
Win9xWin2000WinXPWin2003
病毒行为:
编写工具:
病毒彩用VB编写
传染条件:
被动安装。被安装的系统会被盗取QQ密码
发作条件:
当QQ运行登录时,病毒会能通过诱骗和键盘拦截来盗取QQ密码。
系统修改:
复制病毒复本
C:WinntsystemCOMMAND.EXE
C:Winntsystemsystem.dll(键盘拦截程序)
%Windir%winhe1p.exe
%Windir%system.dll
%Windir%abins.exe
C:ProgramFileswindows.exe
C:ProgramFilessystem.dll
病毒在每个复本的目录同样释放VB6的运行库文件:
mswinsck.ocx
Msvbvm60.dll
对于Win9x系统修改WIN.ini文件
[windows]
Run=%Windir%abins.exe
修改注册表自我启动:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"winhelp"="%windir%winhe1p.exe"
"Rundll32"="c:ProgramFileswindows.exe"
"COMMAND"="C:WINNTSYSTEMCOMMAND.exe"
"ScanReg"=病毒第一次运行的位置
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
"winhelp"="%windir%winhe1p.exe"
"Rundll32"="c:ProgramFileswindows.exe"
"COMMAND"="C:WINNTSYSTEMCOMMAND.exe"
"ScanReg"=病毒第一次运行的位置
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
"winhelp"="%windir%winhe1p.exe"
"Rundll32"="c:ProgramFileswindows.exe"
"COMMAND"="C:WINNTSYSTEMCOMMAND.exe"
"ScanReg"=病毒第一次运行的位置
发作现象:
模拟QQ登录界面,来欺骗用户(如图QQ1.jpg)
非凡说明:
病毒加载时会释几个可执行文件(个数随机,文件名以PKG开头的可执行程序)到系统的临时文件夹%temp%、Windows安装目录%Windir%、系统目录%system%下,用来互相监视进程,保证病毒的生存期。病毒激活时会自动关闭WINDOWS的系统程序,如:资源治理器、注册表编辑器。
