病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
307313
影响系统:
Win9xWin2000WinXP
病毒行为:
该病毒是一个QQ的盗号木马.病毒运行后会生成一个BAK文件,并把BAK文件注入到进程当中.
1.生成文件:
%Windir%\system32\SysYH.BAK
2.生成CLSID组件
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}
Default=""
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
Default="C:\WINDOWS\system32\SysYH.bak"
HKEY_CLASSES_ROOT\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32
ThreadingModel="Apartment"
3.修改注册表,增加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{91B1E846-2BEF-4345-8848-7699C7C9935F}
4.病毒运行后假如发现%Windir%\system32目录下有SysYH.BAK文件存在,则删除SysYH.BAK文件,重新生成SysYH.vxd文件.
5.病毒运行后会登录www.ip.cn网站来获得客户机器的IP地址.
6.病毒会在同目录下生成一个_xr.bat文件实现自删除.
6.病毒运行后会通过读取内存的方式截获客户QQ的账号,密码,等级,Q币等相关资料.然后把获得的QQ的相关资料发送到木马种植者的邮箱.