病毒名称(中文):
QQ盗
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
30839
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒注入到www.taobaobox.***中(目前该网站名为“淘宝格子”),当末打IE补丁的系统防问该网时就会感染此病毒。病毒为Windows平台下专门针对QQ聊天软件的盗取用户帐号、密码、游戏币等信息的木马,病毒可以通过网页方式进行传播,当用户访问含用病毒的网站时,病毒将下载并自动运行,病毒运行后伪装成系统正常文件,运行后,病毒在后台监视QQ聊天软件,并记录用户登录帐号、密码、会员、积分等相关信息,然后将收集的信息发送至病毒作者指定的网站。
1、当用户访问含有病毒的网站时,病毒打开以下病毒网页:
http://www.ad***.com/ship**/count.asp
http://www.ad***.com/ship**/index.htm
2、病毒同时会下载以下相关文件:
http://www.ads***.com/ship**/haha.ico
http://www.ads***.com/ship**/logo.gif
http://www.ads***.com/ship**/haha.ico
http://www.ads***.com/ship**/ray.exe
3、病毒运行后复制自身为:
%SysRoot%:\ProgramFiles\InternetExplorer\PLUGINS\system.sys
%SysRoot%:\ProgramFiles\InternetExplorer\PLUGINS\system.jmp
%SysRoot%:\ProgramFiles\InternetExplorer\PLUGINS\system.bak
4、在win9x下,第一次运行病毒时"wininit.ini"添加如下内容:
[rename]
=C:\PROGRA~1\INTERN~1\PLUGINS\system.bak
5、写入注册表自启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
system.sys="c:\programfiles\internetexplorer\plugins\system.sys"
6、病毒运行过程中同时会修改以下相关注册表使用户无法打开"注册表编辑器":
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]DisableRegistryTools","REG_DWORD"="0"
7、修改以下注册表项使ie安全级别降低:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3\1200]
"REG_DWORD"="0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3\1004]
"REG_DWORD"="0"
8、病毒同时会添加、修改以下相关注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C9953583-932E-4EA1-A04B-4523AAB72C30}"=""
[HKEY_CLASSES_ROOT\CLSID\{C9953583-932E-4EA1-A04B-4523AAB72C30}\InProcServer32]
@="C:\\ProgramFiles\\InternetExplorer\\PLUGINS\\system.sys"
"ThreadingModel"="Apartment"
[HKEY_CURRENT_USER\Software\Ms\QQHooker6]
"CLOSE"="NO"