病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
宏病毒
病毒长度:
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个QQ盗号木马。病毒运行后释放病毒文件,然后注入系统进程,查找QQ登陆窗口,找到则开始盗取QQ用户密码信息,并发送至远程服务器。
病毒还会在E盘生成Autorun.inf和SysAuto.exe文件来传播自身。
1.生成文件
%programfiles%\InternetExplorer\PLUGINS\System64.Jmp
%programfiles%\InternetExplorer\PLUGINS\System64.Tao
%programfiles%\InternetExplorer\PLUGINS\System64.Sys
2.生成注册表项
HKEY_CLASSES_ROOT\CLSID\{754FB7D8-B8FE-4810-B363-A788CD060F1F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{754FB7D8-B8FE-4810-B363-A788CD060F1F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{754FB7D8-B8FE-4810-B363-A788CD060F1F}
HKEY_CURRENT_USER\Software\Tencent\HkFirst"kk"
3.判定用户计算机是否存在E盘,假如存在则将System64.Jmp复制至E盘根目录,并创建Autorun.inf文件,最后设置其Volume名称为空
4.注入桌面进程,查找QQ登陆窗口,查找成功则盗取QQ用户密码,发送至
hxxp://nexx.cn/q-q/xx.asp