病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
571904
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个QQ木马生成器!
1、这个木马生成器可以根据用户的选择生成一个QQ盗号木马。
2、生成的木马行为如下:
3、在%ProgramFiles%\OutlookExpress\下生成myqqbi和myqq.dll这两个文件,其中myqqbi是木马的一个复制体。
4、自删除。
5、建立如下注册表项,使myqq.dll自启动:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{25E1EECB-E580-4032-97A2-A456D33820D1}""
HKCR\CLSID\{25E1EECB-E580-4032-97A2-A456D33820D1}\(Default)""
HKCR\CLSID\{25E1EECB-E580-4032-97A2-A456D33820D1}\InProcServer32\(Default)"%ProgramFiles%\OutlookExpress\mqq.dll"
HKCR\CLSID\{25E1EECB-E580-4032-97A2-A456D33820D1}\InProcServer32\ThreadingModel"Apartment"
6、创建消息钩子,使myqq.dll加载到其它进程中。
7、假如myqq.dll检测到加载程序为QQ.exe,即用户启动QQ程序时,删除QQ的密码保护文件npkcrypt.sys。
8、获取用户QQ帐号信息,并按照木马生成者的配置,将获得的帐号信息发送到指定的网页或邮箱。