病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
65536
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取QQ帐号以及中国游戏中心帐号相关信息的木马。病毒运行后会安装全局钩子,监视系统,寻找游戏和QQ窗口,当找到时便获得相关信息,提交到指定网址。
1、病毒运行后会复制自身到C:\ProgramFiles\InternetExplorer\PLUGINS\system.jmp,并释放一个dll文件到
C:\ProgramFiles\InternetExplorer\PLUGINS\system18.sys。
2、修改注册表实现开机自动启动:
添加如下键值:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{6E44887F-5214-41F2-AB46-4728735C4CC6}=""
[HKCR\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}]
(Default)=""
[HKCR\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
(Default)="C:\ProgramFiles\InternetExplorer\PLUGINS\system18.sys"
[HKCR\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
"ThreadingModel"="Apartment"
3、安装全局钩子,加载病毒文件system18.sys。
4、枚举系统中的窗口,查找QQ登陆窗口以及中国游戏中心的登陆窗口,若找到则向窗口发送消息获得帐号相关信息。
5、将取得的信息提交到指定的网址。