Win32.Troj.QQPass.md

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

122964

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个通过多种方法使杀毒软件失效的盗号软件,它能盗取用户QQ的号码与密码。

1:拷贝文件

病毒运行后,会把自己拷贝到system32目录下,

并命名为svohost.exe,如下:

%system%\SVOHOST.exe

2:更改注册表

a:

病毒会在注册表中的启动项加入自己,使自己能随Windows启动。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SoundMam->%system%\SVOHOST.exe

b:

病毒会删除注册表中以下5项,这些都是安全软件的自启动项。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

RavTask

KvMonXP

YLive.exe

yassistse

KAVPersonal50

3:关闭指定窗口

病毒会枚举桌面上所有的窗口,

若找到窗口名包含以下字符的窗口,

刚向该窗口发送关闭的消息。

QQKav

雅虎助手

上网助手

反间谍专家

防火墙

网镖

杀毒

病毒

木马

QQAV

4:中止指定进程

病毒会枚举系统中所有的进程,

关闭以下的进程:

PFW.exe

Kav.exe

kav32.exe

kvwsc.exe

kavsvc.exe

VPTray.exe

RAVMON.exe

EGHOST.exe

KavPFW.exe

RavMonD.exe

Rtvscan.exe

Nvsvc32.exe

KVMonXP.exe

Kvsrvxp.exe

CCenter.exe

KpopMon.exe

RfwMain.exe

KVCenter.kxp

kavstart.exe

RAVTIMER.exe

RRfwMain.exe

KVSrvXp_1.exe

RavService.exe

5:禁止服务

病毒会把以下6项服务设为禁止(Disable),

这些都是常见杀毒软件的服务,

使它们不能启动

KVWSC

KVSrvXP

kavsvc

RsRavMon

RsCCenter

RsRavMon

6:读取并发送QQ密码

病毒会通过消息钩子的方式得到QQ的号码与密码,并对号码与密码作了简单的移位加密。

之后把加密后的信息发送到木马种植都的邮箱上。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航