Win32.PSWTroj.QQPass.kb.155648

2008-08-14 23:01:32  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名稱(中文):

　　QQ小偷155648

　　病毒別名:

　　

　　

　　威脅級別:

　　★☆☆☆☆

　　病毒類型:

　　偷密碼的木馬

　　病毒長度:

　　155648

　　影響系統:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行爲:

　　該病毒是針對QQ即時聊天軟件的盜號木馬。它運行後，會生成病毒文件至系統目錄下，修改注冊表增加啓動項。然後注入QQ的進程，竊取用戶的QQ號、密碼、Q幣金額、QQ等級等相關信息。

　　1.生成文件.

　　C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe

　　C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.exe

　　C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.rar

　　2.生成CSLID組件

　　HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}

　　HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}

　　Default=""

　　HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32

　　HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32

　　Default="C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe"

　　HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32

　　ThreadingModel="Apartment"

　　3.生成注冊表啓動項

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}

　　4.病毒運行後把sysinfo.exe注入到Explorer.exe進程當中.通過讀取內存盜取用戶的賬號信息，並將用戶QQ的Q幣金額，等級相關的信息

　　連同賬號密碼一並發送到木馬種植者的郵箱中.

　　5.病毒文件還會生成一個_xr.bat的文件來實現病毒的自刪除功能.

 

病毒名稱(中文): QQ小偷155648 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 偷密碼的木馬 病毒長度: 155648 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 該病毒是針對QQ即時聊天軟件的盜號木馬。它運行後，會生成病毒文件至系統目錄下，修改注冊表增加啓動項。然後注入QQ的進程，竊取用戶的QQ號、密碼、Q幣金額、QQ等級等相關信息。 1.生成文件. C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.exe C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\6hackol.rar 2.生成CSLID組件 HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ} HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ} Default="" HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32 HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32 Default="C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\sysinfo.exe" HKEY_CLASSES_ROOT\CLSID\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}\InProcServer32 ThreadingModel="Apartment" 3.生成注冊表啓動項 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ} 4.病毒運行後把sysinfo.exe注入到Explorer.exe進程當中.通過讀取內存盜取用戶的賬號信息，並將用戶QQ的Q幣金額，等級相關的信息 連同賬號密碼一並發送到木馬種植者的郵箱中. 5.病毒文件還會生成一個_xr.bat的文件來實現病毒的自刪除功能.