病毒名称(中文):
QQ小偷106496
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
106496
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个针对QQ的盗号木马。病毒运行后会修改注册表增加启动项,然后通过内存读取的方式盗取密码,并把密码发送到木马种植者的手上。
1.生成文件
%commonfiles%\MicrosoftShared\MSInfo\atmQQ2.dll
2.生成注册表及启动项
HKEY_CLASSES_ROOT\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}
HKEY_CLASSES_ROOT\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}@""
HKEY_CLASSES_ROOT\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InProcServer32@"C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\atmQQ2.dll"
HKEY_CLASSES_ROOT\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InProcServer32ThreadingModel"Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{D544C22D-1F70-4B1E-873D-D8DABEB26695}""
3.病毒运行后会在同一目录下生成一个BT.BAT的批处理文件实现自删除.
4.病毒会删除QQ医生目录下面QQDoctor.exe文件.
5.病毒还会登录www.*p.*n这个网站来获得机器的IP地址.
6.病毒会把盗取的密码发送到木马种植者的邮箱中.