病毒名称(中文):
QQ钩子
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
66381
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是被放在http://61.135.131.**/5ad82771938daa59e39cd4a180efec9d.php页面下的一木马病毒。该病毒是在页面处理一http://bcwr1.3322.***/css/1/网络路径下的一个js脚本执行时下载下来的。该病毒
是一个QQ盗号木马。它会将盗取的QQ号及密码发送到指定的邮箱。其js脚本还会下载并执行另一盗游戏帐号的木马。建议电脑用户安装杀毒软件,并升级到最新,以免中毒受害。
1、该病毒的下载脚本是http://bcwr1.3322.***/css/1/sp2.asp。该脚本还会下载并执行edcx.gif文件。
2、该病毒下载下来后,其文件名为wsxedc.jpg,它不会自动运行,是由edcx.gif运行的。edcx.gif为一执行脚本,其文件大小为2,496字节。
3、该病毒运行后生成的文件
%ProgramFiles%\CommonFiles\MicrosoftShared\MSINFO\MSIOFF9.dat
%SystemRoot%\system32\svchsot.exe
4、该病毒在系统里安装了一个URL执行挂钩,其相应注册表修改项为
HKCR\CLSID\{79BB2EA7-2ADB-4CB4-AF95-373AD4993F00}"(Default)"="URL执行挂钩"
HKCR\CLSID\{79BB2EA7-2ADB-4CB4-AF95-373AD4993F00}\InProcServer32"(Default)"="%ProgramFiles%\CommonFiles\MicrosoftShared\MSINFO\MSIOFF9.dat"
5、该病毒将一网址保存在注册表IESetup一子键下:
HKLM\SOFTWARE\Microsoft\IESetup\Setup"Url"="http://bcwr1.3322.***/xxcyt_news/snowbeer.asp"
6、该病毒会访问下面网址
http://bcwr1.3322.***/xxcyt_news/snowbeer.asp
7、下载该病病毒的脚本还会打开http://bcwr1.3322.***/css/1/index.htm页面,
其实是一个脚本,会下载并执行upx.gif,这是个chm文档,文件大小为39,280字节,
该文档会释放一个叫schove.exe的病毒,是个盗游戏帐号的木马。
8、相应的下载路径
http://bcwr1.3322.***/css/1/js.js
http://bcwr1.3322.***/css/1/wsxedc.jpg
http://bcwr1.3322.***/css/1/edcx.gif
http://bcwr1.3322.***/css/1/upx.gif