Win32.Troj.QQHook.je

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

QQ钩子

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

66381

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒是被放在http://61.135.131.**/5ad82771938daa59e39cd4a180efec9d.php页面下的一木马病毒。该病毒是在页面处理一http://bcwr1.3322.***/css/1/网络路径下的一个js脚本执行时下载下来的。该病毒

是一个QQ盗号木马。它会将盗取的QQ号及密码发送到指定的邮箱。其js脚本还会下载并执行另一盗游戏帐号的木马。建议电脑用户安装杀毒软件,并升级到最新,以免中毒受害。

1、该病毒的下载脚本是http://bcwr1.3322.***/css/1/sp2.asp。该脚本还会下载并执行edcx.gif文件。

2、该病毒下载下来后,其文件名为wsxedc.jpg,它不会自动运行,是由edcx.gif运行的。edcx.gif为一执行脚本,其文件大小为2,496字节。

3、该病毒运行后生成的文件

%ProgramFiles%\CommonFiles\MicrosoftShared\MSINFO\MSIOFF9.dat

%SystemRoot%\system32\svchsot.exe

4、该病毒在系统里安装了一个URL执行挂钩,其相应注册表修改项为

HKCR\CLSID\{79BB2EA7-2ADB-4CB4-AF95-373AD4993F00}"(Default)"="URL执行挂钩"

HKCR\CLSID\{79BB2EA7-2ADB-4CB4-AF95-373AD4993F00}\InProcServer32"(Default)"="%ProgramFiles%\CommonFiles\MicrosoftShared\MSINFO\MSIOFF9.dat"

5、该病毒将一网址保存在注册表IESetup一子键下:

HKLM\SOFTWARE\Microsoft\IESetup\Setup"Url"="http://bcwr1.3322.***/xxcyt_news/snowbeer.asp"

6、该病毒会访问下面网址

http://bcwr1.3322.***/xxcyt_news/snowbeer.asp

7、下载该病病毒的脚本还会打开http://bcwr1.3322.***/css/1/index.htm页面,

其实是一个脚本,会下载并执行upx.gif,这是个chm文档,文件大小为39,280字节,

该文档会释放一个叫schove.exe的病毒,是个盗游戏帐号的木马。

8、相应的下载路径

http://bcwr1.3322.***/css/1/js.js

http://bcwr1.3322.***/css/1/wsxedc.jpg

http://bcwr1.3322.***/css/1/edcx.gif

http://bcwr1.3322.***/css/1/upx.gif

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航